Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
shun コマンド~ sysopt radius ignore-secret コマンド
shun コマンド~ sysopt radius ignore-secret コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

shun コマンド~ sysopt radius ignore-secret コマンド

shun

shutdown

shutdown(CA サーバ モード)

sla monitor

sla monitor schedule

smart-tunnel auto-signon enable

smart-tunnel auto-signon list

smart-tunnel auto-start

smart-tunnel disable

smart-tunnel enable

smart-tunnel list

smart-tunnel network

smart-tunnel notification-icon

smart-tunnel tunnel-policy

smtp from-address

smtp subject

smtps

smtp-server

snmp-map

snmp-server community

snmp-server contact

snmp-server enable

snmp-server enable traps

snmp-server group

snmp-server host

snmp-server listen-port

snmp-server location

snmp-server user

software-version

speed

split-dns

split-horizon

split-tunnel-network-list

split-tunnel-policy

spoof-server

sq-period

ssh

ssh disconnect

ssh scopy enable

ssh timeout

ssh version

ssl certificate-authentication

ssl client-version

ssl encryption

ssl server-version

ssl trust-point

sso-server

sso-server value(グループ ポリシー webvpn)

sso-server value(ユーザ名 webvpn)

start-url

state-checking

strict-header-validation

strict-http

strip-group

strip-realm

storage-key

storage-objects

subject-name(暗号 CA 証明書マップ)

subject-name(暗号 CA トラストポイント)

subject-name-default

summary-address(OSPF)

summary-address(EIGRP)

sunrpc-server

support-user-cert-validation

svc ask

svc compression

svc dpd-interval

svc dtls enable

svc enable

svc firewall-rule

svc image

svc keepalive

svc keep-installer

svc modules

svc mtu

svc profiles(グループ ポリシーまたはユーザ名アトリビュート)

svc profiles(webvpn)

svc rekey

switchport access vlan

switchport mode

switchport monitor

switchport protected

switchport trunk

synack-data

syn-data

sysopt connection permit-vpn

sysopt connection preserve-vpn-flows

sysopt connection reclassify-vpn

sysopt connection tcpmss

sysopt connection timewait

sysopt noproxyarp

sysopt radius ignore-secret

shun コマンド~ sysopt radius ignore-secret コマンド

shun

攻撃側ホストからの接続をブロックするには、特権 EXEC モードで shun コマンドを使用します。shun をディセーブルにするには、このコマンドの no 形式を使用します。

shun source_ip [ dest_ip source_port dest_port [ protocol ]] [ vlan vlan_id ]

no shun source_ip [ vlan vlan_id ]

 
構文の説明

dest_port

(任意)送信元 IP アドレスの排除を実行するときにドロップする現在の接続の宛先ポートを指定します。

dest_ip

(任意)送信元 IP アドレスの排除を実行するときにドロップする現在の接続の宛先アドレスを指定します。

protocol

(任意)送信元 IP アドレスの排除を実行するときにドロップする現在の接続の IP プロトコル(UDP や TCP など)を指定します。デフォルトでは、プロトコルは 0(全プロトコル)です。

source_ip

攻撃側ホストのアドレスを指定します。送信元 IP アドレスだけを指定した場合、そのアドレスからのそれ以降の接続がすべてドロップされ、現在の接続はそのまま残ります。現在の接続をドロップすると同時に回避も実行する場合、接続の追加パラメータを指定します。宛先パラメータにかかわらず、指定の送信元 IP アドレスからのそれ以降の接続すべてに対する回避がそのまま残ることに注意してください。

source_port

(任意)送信元 IP アドレスの回避を実行するときにドロップする現在の接続の送信元ポートを指定します。

vlan_id

(任意)送信元ホストが存在する VLAN ID を指定します。

 
デフォルト

デフォルト プロトコルは 0(全プロトコル)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

shun コマンドを使用して、攻撃側ホストからの接続をブロックできます。その送信元 IP アドレスからの以降の接続は、ブロック機能が手動または Cisco IPS センサーで解除されるまで、すべてドロップされ、記録されます。shun コマンドのブロック機能は、指定のホスト アドレスとの接続が現在アクティブかどうかにかかわらず適用されます。

宛先アドレス、送信元ポートと宛先ポート、プロトコルを指定すると、送信元 IP アドレスからの以降の接続がすべて排除されることに加え、現在の接続のうちで条件に一致するものがドロップされます。それ以降は、指定の接続パラメータに一致するものだけでなく、すべての接続が回避されます。

shun コマンドは、各送信元 IP アドレスにつき 1 つしか使用できません。

shun コマンドは、攻撃をブロックする目的で動的に使用されるため、適応型セキュリティ アプライアンスコンフィギュレーションには表示されません。

インターフェイス コンフィギュレーションが削除されると、そのインターフェイスに付加されていた回避もすべて削除されます。新しいインターフェイスを追加する場合や、同一のインターフェイス(同じ名前を使用する)に置き換える場合、IPS センサーにそのインターフェイスをモニタさせるには、インターフェイスを IPS センサーに追加する必要があります。

次の例では、問題のあるホスト(10.1.1.27)が攻撃対象(10.2.2.89)との TCP 接続を作成しています。適応型セキュリティ アプライアンス接続テーブルから、次のような接続情報がわかります。

10.1.1.27, 555-> 10.2.2.89, 666 PROT TCP
 

次のオプションを使用して shun コマンドを適用します。

hostname# shun 10.1.1.27 10.2.2.89 555 666 tcp
 

コマンドにより、指定された現在の接続は 適応型セキュリティ アプライアンス接続テーブルから削除され、以後 10.1.1.27 からのパケットはすべて適応型セキュリティ アプライアンスを通過できなくなります。

 
関連コマンド

コマンド
説明

clear shun

現在イネーブルにされている回避をすべてディセーブルにし、回避統計をクリアします。

show conn

アクティブな接続をすべて表示します。

show shun

回避についての情報を表示します。

shutdown

インターフェイスをディセーブルにするには、インターフェイス コンフィギュレーション モードで shutdown コマンドを使用します。インターフェイスをイネーブルにするには、このコマンドの no 形式を使用します。

shutdown

no shutdown

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトではすべての物理インターフェイスがシャットダウンされます。セキュリティ コンテキストで割り当てられたインターフェイスは、コンフィギュレーションでシャットダウンされません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、 interface コマンドのキーワードからインターフェイス コンフィギュレーション モード コマンドに移されました。

 
使用上のガイドライン

インターフェイスのデフォルトの状態は、そのタイプおよびコンテキスト モードによって異なります。

マルチ コンテキスト モードでは、システム実行スペース内でのインターフェイスの状態にかかわらず、すべての割り当て済みのインターフェイスがデフォルトでイネーブルになっています。ただし、トラフィックがインターフェイスを通過するためには、そのインターフェイスもシステム実行スペース内でイネーブルになっている必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、それを共有しているすべてのコンテキストでダウンします。

シングル モードまたはシステム実行スペースでは、インターフェイスのデフォルトの状態は次のとおりです。

物理インターフェイス:ディセーブル。

冗長インターフェイス:イネーブル。ただし、トラフィックが冗長インターフェイスを通過するためには、メンバー物理インターフェイスもイネーブルになっている必要があります。

サブインターフェイス:イネーブル。ただし、トラフィックがサブインターフェイスを通過するためには、物理インターフェイスもイネーブルになっている必要があります。


) このコマンドがディセーブルにするのは、ソフトウェア インターフェイスだけです。対応するインターフェイスが shutdown コマンドで設定された場合であっても、物理リンクはアップ状態のままで、直接接続されたデバイスもアップ状態と認識されます。


次の例では、メイン インターフェイスをイネーブルにしています。

hostname(config)# interface gigabitethernet0/2
hostname(config-if)# speed 1000
hostname(config-if)# duplex full
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
 

次の例では、サブインターフェイスをイネーブルにしています。

hostname(config)# interface gigabitethernet0/2.1
hostname(config-subif)# vlan 101
hostname(config-subif)# nameif dmz1
hostname(config-subif)# security-level 50
hostname(config-subif)# ip address 10.1.2.1 255.255.255.0
hostname(config-subif)# no shutdown
 

次の例では、サブインターフェイスをシャットダウンしています。

hostname(config)# interface gigabitethernet0/2.1
hostname(config-subif)# vlan 101
hostname(config-subif)# nameif dmz1
hostname(config-subif)# security-level 50
hostname(config-subif)# ip address 10.1.2.1 255.255.255.0
hostname(config-subif)# shutdown
 

 
関連コマンド

コマンド
説明

clear xlate

既存の接続に対するすべての変換をリセットして、その結果として接続をリセットします。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

shutdown(CA サーバ モード)

ローカル Certificate Authority(CA; 認証局)サーバをディセーブルにし、登録インターフェイスをユーザからアクセスできないようにするには、CA サーバ コンフィギュレーション モードで shutdown コマンドを使用します。CA サーバをイネーブルにし、コンフィギュレーションが変更されないようロックし、登録インターフェイスをアクセス可能にするには、このコマンドの no 形式を使用します。

shutdown

no shutdown

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、CA サーバは最初にシャットダウンされています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

CA サーバ モードのこのコマンドは、インターフェイス モードの shutdown コマンドと類似しています。セットアップ時には、ローカル CA サーバはデフォルトでシャットダウンされており、 no shutdown コマンドでイネーブルにする必要があります。初めて no shutdown コマンドを使用するときに、CA サーバをイネーブルにし、CA サーバ証明書とキーペアを生成します。


) いったん no shutdown コマンドを発行して CA コンフィギュレーションをロックし CA 証明書を生成すると、コンフィギュレーションは変更できなくなります。


no shutdown コマンドを使用して CA サーバをイネーブルにし、現在のコンフィギュレーションをロックするには、7 文字のパスワードが必要です。パスワードは、生成される CA 証明書とキーペアを含む PKCS12 ファイルを暗号化してアーカイブするために使用されます。ファイルは、それまでに database path コマンドで指定されたストレージに格納されます。

次の例では、ローカル CA サーバをディセーブルにし、登録インターフェイスをアクセス不能にしています。

hostname(config)# crypto ca server
hostname(config-ca-server)# shutdown
hostname(config-ca-server)#
 

次の例では、ローカル CA サーバをイネーブルにし、登録インターフェイスをアクセス可能にしています。

hostname(config)# crypto ca server
hostname(config-ca-server)# no shutdown
hostname(config-ca-server)#
 
hostname(config-ca-server)# no shutdown
 
% Some server settings cannot be changed after CA certificate generation.
% Please enter a passphrase to protect the private key
% or type Return to exit
 
Password: caserver
 
Re-enter password: caserver
 
Keypair generation process begin. Please wait...
 
hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。

show crypto ca server

CA コンフィギュレーションのステータスを表示します。

sla monitor

SLA 動作を作成するには、グローバル コンフィギュレーション モードで sla monitor コマンドを使用します。SLA 動作を削除するには、このコマンドの no 形式を使用します。

sla monitor sla_id

no sla monitor sla_id

 
構文の説明

sla_id

設定中の SLA の ID を指定します。SLA が存在していない場合、作成されます。有効な値は 1 ~ 2147483647 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

sla monitor コマンドは、SLA 動作を作成し、SLA モニタ コンフィギュレーション モードに入ります。このコマンドに入ると、コマンド プロンプトが hostname(config-sla-monitor)# に変わり、SLA モニタ コンフィギュレーション モードに入っていることを示します。SLA 動作がすでに存在し、タイプが定義済みの場合、プロンプトは hostname(config-sla-monitor-echo)# となります。SLA 動作は最大 2000 まで作成できます。どのようなときでも、デバッグされるのは 32 の SLA 動作だけです。

no sla monitor コマンドは、指定された SLA 動作と、その動作の設定に使用されたコマンドを削除します。

SLA 動作を設定した後には、 sla monitor schedule コマンドを使用して動作のスケジューリングを行うことが必要です。スケジューリング後は、SLA 動作のコンフィギュレーションを変更できません。スケジュールされた SLA 動作のコンフィギュレーションを変更するには、 no sla monitor コマンドを使用して、選択された SLA 動作を完全に削除する必要があります。SLA 動作を削除すると、関連づけられた sla monitor schedule コマンドも削除されます。その後、SLA 動作のコンフィギュレーションを再入力できます。

動作の現在のコンフィギュレーション設定を表示するには、 show sla monitor configuration コマンドを使用します。SLA 動作の統計情報を表示するには、 show sla monitor operation-state コマンドを使用します。コンフィギュレーション内の SLA コマンドを確認するには、 show running-config sla monitor コマンドを使用します。

次の例では、ID が 123 の SLA 動作を設定し、ID が 1 のトラッキング エントリを作成して、SLA の到達可能性を追跡しています。

hostname(config)# sla monitor 123
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
hostname(config-sla-monitor-echo)# timeout 1000
hostname(config-sla-monitor-echo)# frequency 3
hostname(config)# sla monitor schedule 123 life forever start-time now
hostname(config)# track 1 rtr 123 reachability
 

 
関連コマンド

コマンド
説明

frequency

SLA 動作を繰り返す頻度を指定します。

show sla monitor configuration

SLA コンフィギュレーション設定を表示します。

sla monitor schedule

SLA 動作のスケジューリングを行います。

timeout

SLA 動作の応答待ち時間を設定します。

track rtr

SLA をポーリングするためのトラッキング エントリを作成します。

sla monitor schedule

SLA 動作のスケジュールを作成するには、グローバル コンフィギュレーション モードで sla monitor schedule コマンドを使用します。SLA 動作のスケジュールを削除し、保留状態の動作を実行するには、このコマンドの no 形式を使用します。

sla monitor schedule sla-id [ life { forever | seconds }] [ start-time { hh : mm [: ss ] [ month day | day month ] | pending | now | after hh : mm : ss }] [ ageout seconds ] [ recurring ]

no sla monitor schedule sla-id

 
構文の説明

after hh : mm : ss

コマンドの入力から動作開始までの待ち時間を、時間、分、秒で指定します。

ageout seconds

(任意)情報をアクティブに収集していない場合、動作をメモリに常駐させておく時間を秒数で指定します。SLA 動作が期限切れになった後、実行コンフィギュレーションから削除されます。

day

動作を開始する日を指定します。有効な値は、1 ~ 31 です。日が指定されない場合、今日の日付が使用されます。日を指定した場合、月も指定する必要があります。

hh : mm [: ss ]

絶対開始時刻を 24 時間形式で指定します。秒の指定は任意です。 month day を指定しない限り、次に指定時刻になる時点のことを指します。

life forever

(任意)動作が無期限に実行されるようスケジューリングします。

life seconds

(任意)アクティブに情報を収集する動作に、秒数を設定します。

month

(任意)動作を開始する月名です。月が指定されない場合、現在の月が使用されます。月を指定した場合、日も指定する必要があります。

月の英語名を、単語全体または頭のアルファベット 3 文字で入力できます。

now

コマンド入力後、可能な限り早く動作を開始するよう指示します。

pending

情報が収集されないことを示します。これがデフォルトの状態になります。

recurring

(任意)指定した時刻と指定した期間を使用して、毎日自動的に動作が開始するよう指示します。

sla-id

スケジュール中の SLA 動作の ID です。

start-time

SLA 動作が開始する時間を設定します。

 
デフォルト

デフォルトは次のとおりです。

SLA 動作は、スケジュールされた時間になるまで、 pending 状態になります。動作はイネーブルになっていますが、データの収集は行われません。

デフォルトの ageout 時間は 0 秒(期限切れにならない)です。

デフォルトの life は 3600 秒(1 時間)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

SLA 動作がアクティブ状態のとき、ただちに情報収集が始まります。次のタイム ラインは、動作の期限切れプロセスを示しています。

W----------------------X----------------------Y----------------------Z
 

W は sla monitor コマンドで SLA 動作が設定された時間です。

X は SLA 動作の開始時間です。操作が「アクティブ」になった時間です。

Y は、 sla monitor schedule コマンドを使用して設定されたライフの終了( life の秒数が 0 までカウント ダウンされた)です。

Z は、動作の期限切れです。

期限切れプロセスが使用される場合、W でカウント ダウンが始まり、X と Y の間は中断され、Y で設定サイズにリセットされカウント ダウンを再開します。SLA 動作が期限切れになると、SLA 動作コンフィギュレーションは実行コンフィギュレーションから削除されます。操作の実行前に期限切れになる(Z が X より先に発生する)可能性もあります。このことを防止するため、操作コンフィギュレーション時間と開始時間(X と W)の差を期限切れの秒数より小さくしておく必要があります。

recurring キーワードがサポートされるのは、単独の SLA 動作のスケジューリングだけです。単独の sla monitor schedule コマンドで複数の SLA 動作のスケジューリングはできません。定期実行される SLA 動作の life 値は、1 日より短くする必要があります。定期実行される動作では、 ageout 値を「実行しない」(値 0 で指定)に設定する必要があります。そう設定しない場合、 life の値と ageout の値との合計を 1 日より長くする必要があります。recurring オプションを指定しない場合、動作は既存の通常のスケジューリング モードで開始されます。

スケジューリング後は、SLA 動作のコンフィギュレーションを変更できません。スケジュールされた SLA 動作のコンフィギュレーションを変更するには、 no sla monitor コマンドを使用して、選択された SLA 動作を完全に削除する必要があります。SLA 動作を削除すると、関連づけられた sla monitor schedule コマンドも削除されます。その後、SLA 動作のコンフィギュレーションを再入力できます。

次の例では、4 月 5 日午後 3:00 からアクティブなデータ収集を開始するよう、SLA 動作 25 をスケジュールしています。この操作は、非アクティビティ 12 時間で期限切れになります。この SLA 動作が期限切れになると、この SLA 動作のコンフィギュレーション情報は、すべて実行コンフィギュレーションから削除されます。

hostname(config)# sla monitor schedule 25 life 43200 start-time 15:00 apr 5 ageout 43200
 

次の例では、5 分間の遅延の後にデータ収集を開始するよう、SLA 動作 1 をスケジュールしています。デフォルトのライフとして 1 時間が適用されます。

hostname(config)# sla monitor schedule 1 start after 00:05:00
 

次の例では、即時データ収集を開始し、無期限で実行するよう、SLA 動作 3 をスケジュールしています。

hostname(config)# sla monitor schedule 3 life forever start-time now
 

次の例では、毎日午前 1:30 にデータ収集を自動的に開始するよう、SLA 動作 15 をスケジュールしています。

hostname(config)# sla monitor schedule 15 start-time 01:30:00 recurring
 

 
関連コマンド

コマンド
説明

show sla monitor configuration

SLA コンフィギュレーション設定を表示します。

sla monitor

SLA モニタリング動作を定義します。

smart-tunnel auto-signon enable

クライアントレス(ブラウザ ベース)の SSL VPN セッションでスマート トンネル自動サインオンをイネーブルにするには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで smart-tunnel auto-signon enable コマンドを使用します。

[ no ] smart-tunnel auto-signon enable list [ domain domain ]

グループ ポリシーまたはユーザ名から smart-tunnel auto-signon enable コマンドを削除し、デフォルトのグループ ポリシーから継承させるには、コマンドの no 形式を使用します。

 
構文の説明

list

list は、適応型セキュリティ アプライアンスwebvpn コンフィギュレーション内の既存のスマート トンネル自動サインオン リストの名前です。

SSL VPN コンフィギュレーションのスマート トンネル自動サインオン リストのエントリを参照するには、特権 EXEC モードで show running-config webvpn smart-tunnel コマンドを入力します。

domain domain

(任意)認証時にユーザ名に付加されるドメイン名です。ドメインを入力する場合、リスト エントリに use-domain キーワードを入力します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション モード

--

--

--

ユーザ名 webvpn コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

スマート トンネル自動サインオン機能は、Microsoft WININET ライブラリを使用した HTTP および HTTPS 通信を行うアプリケーションだけをサポートしています。たとえば、Microsoft Internet Explorer は Web サーバとの通信に WININET ダイナミック リンク ライブラリを使用します。

最初に、 smart-tunnel auto-signon list コマンドを使用してサーバのリストを作成する必要があります。グループ ポリシーまたはユーザ名に割り当てられるリストは 1 つだけです。

次のコマンドは、HR という名前のスマート トンネル自動サインオン リストをイネーブルにします。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# smart-tunnel auto-signon enable HR
hostname(config-group-webvpn)
 

次のコマンドは、HR という名前のスマート トンネル自動サインオン リストをイネーブルにし、認証時に CISCO というドメインをユーザ名に追加します。

hostname(config-group-webvpn)# smart-tunnel auto-signon enable HR domain CISCO
 

次のコマンドは、グループ ポリシーから HR という名前のスマート トンネル自動サインオン リストを削除し、デフォルトのグループ ポリシーから smart tunnel auto sign-on list コマンドを継承します。

hostname(config-group-webvpn)# no smart-tunnel auto-signon enable HR
 

 
関連コマンド

コマンド
説明

smart-tunnel auto-signon list

スマート トンネル接続で資格情報の送信を自動化するサーバのリストを作成します。

show running-config webvpn smart-tunnel

適応型セキュリティ アプライアンスのスマート トンネル コンフィギュレーションを表示します。

smart-tunnel auto-start

ユーザのログイン時にスマート トンネル アクセスを自動的に開始します。

smart-tunnel disable

スマート トンネル アクセスを使用禁止にします。

smart-tunnel list

プライベート サイトへの接続にクライアントレス SSL VPN セッションを使用できるアプリケーションのリストにエントリを追加します。

 

smart-tunnel auto-signon list

スマート トンネル接続で資格情報を自動送信するサーバのリストを作成するには、webvpn コンフィギュレーション モードで smart-tunnel auto-signon list コマンドを使用します。

[ no ] smart-tunnel auto-signon list [ use-domain ] { ip ip-address [ netmask ] | host hostname-mask }

リストに追加するサーバそれぞれについてこのコマンドを使用します。リストからエントリを削除するには、コマンドの no 形式を使用し、適応型セキュリティ アプライアンス コンフィギュレーションのように、リストと、IP アドレスもしくはホスト名を指定します。スマート トンネル自動サインオン リストのエントリを表示するには、特権 EXEC モードで show running-config webvpn smart-tunnel コマンドを入力します。

適応型セキュリティ アプライアンス コンフィギュレーションからサーバのリスト全体を削除するには、リストだけを指定してコマンドの no 形式を使用します。

no smart-tunnel auto-signon list

 
構文の説明

host

ホスト名またはワイルドカード マスクで指定されるサーバ。

hostname-mask

自動認証するホスト名またはワイルドカード マスク。

ip

IP アドレスとネットマスクで指定されるサーバ。

ip-address [ netmask ]

自動認証するホストのサブ ネットワーク。

list

リモート サーバのリストの名前。スペースを含む場合、名前の前後に引用符を使用します。文字列は最大 64 文字まで使用できます。コンフィギュレーションに存在しないリストの場合は、適応型セキュリティ アプライアンスが作成します。存在する場合、リストにエントリを追加します。

use-domain

(任意)認証に必要な場合、ユーザ名に Windows ドメインを付加します。このキーワードを入力する場合、スマート トンネル リストを 1 つ以上のグループ ポリシーもしくはユーザ名に割り当てるときにドメイン名を指定するようにします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

スマート トンネル自動サインオン機能は、Microsoft WININET ライブラリを使用した HTTP および HTTPS 通信を行うアプリケーションだけをサポートしています。たとえば、Microsoft Internet Explorer は Web サーバとの通信に WININET ダイナミック リンク ライブラリを使用します。

スマート トンネル自動サインオン リストの入力に続き、グループ ポリシー WebVPN モードまたはユーザ名 webvpn モードで smart-tunnel auto-signon enable list コマンドを使用して、リストを割り当てます。

次のコマンドは、サブネット内のホストすべてを追加し、認証に必要な場合ユーザ名に Windows ドメインを付加します。

asa2(config-webvpn)# smart-tunnel auto-signon HR use-domain ip 192.32.22.56 255.255.255.0
 

次のコマンドは、リストからエントリを削除します。

asa2(config-webvpn)# no smart-tunnel auto-signon HR use-domain ip 192.32.22.56 255.255.255.0
 

前述のコマンドは、削除されたエントリが HR という名のリストの唯一のエントリだった場合、リストも削除します。そうでない場合、リスト全体は次のコマンドで適応型セキュリティ アプライアンス コンフィギュレーションから削除されます。

asa2(config-webvpn)# no smart-tunnel auto-signon HR
 

次のコマンドは、ドメイン内のすべてのホストを intranet という名前のスマート トンネル自動サインオン リストに追加します。

asa2(config-webvpn)# smart-tunnel auto-signon intranet host *.exampledomain.com
 

次のコマンドは、リストからエントリを削除します。

asa2(config-webvpn)# no smart-tunnel auto-signon intranet host *.exampledomain.com
 
 

 
関連コマンド

コマンド
説明

smart-tunnel auto-signon enable

コマンド モードで指定されたグループ ポリシーまたはユーザ名に対して、スマート トンネル自動サインオンをイネーブルにします。

smart-tunnel auto-signon enable list

スマート トンネル自動サインオン リストをグループ ポリシーまたはユーザ名に割り当てます。

show running-config webvpn smart-tunnel

スマート トンネル コンフィギュレーションを表示します。

smart-tunnel auto-start

ユーザのログイン時にスマート トンネル アクセスを自動的に開始します。

smart-tunnel enable

ユーザ ログイン時にスマート トンネル アクセスをイネーブルにします。ただし、ユーザがクライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、手動でスマート トンネル アクセスを開始する必要があります。

smart-tunnel auto-start

クライアントレス(ブラウザベース)SSL VPN セッションでのユーザ ログイン時に自動的にスマート トンネル アクセスを開始するには、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで smart-tunnel auto-start コマンドを使用します。

smart-tunnel auto-start list

グループ ポリシーまたはユーザ名から smart-tunnel コマンドを削除し、デフォルト グループ ポリシーの [ no ] smart-tunnel コマンドを継承するには、コマンドの no 形式を使用します。

no smart-tunnel

 
構文の説明

list

list は、適応型セキュリティ アプライアンス webvpn コンフィギュレーションにすでに存在するスマート トンネル リストの名前です。

SSL VPN コンフィギュレーションにすでに存在しているスマート トンネル リストのエントリを参照するには、特権 EXEC モードで show running-config webvpn コマンドを入力します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション モード

--

--

--

ユーザ名 webvpn コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用するには、先に smart-tunnel list コマンドを使用してアプリケーションのリストを作成しておく必要があります。

次のコマンドは、apps1 という名前のアプリケーションのリストに対してスマート トンネル アクセスを開始します。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# smart-tunnel auto-start apps1
hostname(config-group-webvpn)
 

次のコマンドは、グループ ポリシーから apps1 という名前のリストを削除し、デフォルト グループ ポリシーのスマート トンネル コマンドを継承します。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# no smart-tunnel
hostname(config-group-webvpn)
 

 
関連コマンド

コマンド
説明

show running-config webvpn

クライアントレス SSL VPN コンフィギュレーションを、すべてのスマート トンネル リスト エントリを含めて表示します。

smart-tunnel disable

スマート トンネル アクセスを使用禁止にします。

smart-tunnel enable

ユーザ ログイン時にスマート トンネル アクセスをイネーブルにします。ただし、ユーザがクライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、手動でスマート トンネル アクセスを開始する必要があります。

smart-tunnel list

プライベート サイトへの接続にクライアントレス SSL VPN セッションを使用できるアプリケーションのリストにエントリを追加します。

 

smart-tunnel disable

クライアントレス(ブラウザベース)SSL VPN セッションを介したスマート トンネル アクセスを使用できないようにする場合、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで smart-tunnel disable コマンドを使用します。

smart-tunnel disable

グループ ポリシーまたはユーザ名から smart-tunnel コマンドを削除し、デフォルト グループ ポリシーの [ no ] smart-tunnel コマンドを継承するには、コマンドの no 形式を使用します。

no smart-tunnel

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション モード

--

--

--

ユーザ名 webvpn コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

スマート トンネルはデフォルトではイネーブルになっていないため、 smart-tunnel disable コマンドが必要になるのは、(デフォルト)グループ ポリシーまたはユーザ名のコンフィギュレーションに含まれる smart-tunnel auto-start コマンドや smart-tunnel enable コマンドを、問題のグループ ポリシーやユーザ名に適用させないようにする場合に限られます。

次のコマンドは、スマート トンネル アクセスを使用させないようにします。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# smart-tunnel disable
hostname(config-group-webvpn)
 

 
関連コマンド

コマンド
説明

smart-tunnel auto-start

ユーザのログイン時にスマート トンネル アクセスを自動的に開始します。

smart-tunnel enable

ユーザ ログイン時にスマート トンネル アクセスをイネーブルにします。ただし、ユーザがクライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、手動でスマート トンネル アクセスを開始する必要があります。

smart-tunnel list

プライベート サイトへの接続にクライアントレス SSL VPN セッションを使用できるアプリケーションのリストにエントリを追加します。

 

smart-tunnel enable

クライアントレス(ブラウザベース)SSL VPN セッションを介したスマート トンネル アクセスをイネーブルにする場合、グループ ポリシー webvpn コンフィギュレーション モードまたはユーザ名 webvpn コンフィギュレーション モードで smart-tunnel enable コマンドを使用します。

smart-tunnel enable list

グループ ポリシーまたはユーザ名から smart-tunnel コマンドを削除し、デフォルト グループ ポリシーの [ no ] smart-tunnel コマンドを継承するには、コマンドの no 形式を使用します。

no smart-tunnel

 
構文の説明

list

list は、適応型セキュリティ アプライアンス webvpn コンフィギュレーションにすでに存在するスマート トンネル リストの名前です。

SSL VPN コンフィギュレーションでスマート トンネル リストのエントリを参照するには、特権 EXEC モードで show running-config webvpn コマンドを入力します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション モード

--

--

--

ユーザ名 webvpn コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

smart-tunnel enable コマンドは、スマート トンネル アクセスを行うのに適格なアプリケーションのリストをグループ ポリシーまたはユーザ名に割り当てます。クライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、スマート トンネル アクセスをユーザが手動で開始する必要があります。別の方法として、 smart-tunnel auto-start コマンドを使用して、ユーザのログイン時に自動的にスマート トンネル アクセスを開始させることもできます。

いずれのコマンドについても、先に smart-tunnel list コマンドを使用してアプリケーションのリストを作成しておく必要があります。

次のコマンドは、apps1 という名前のスマート トンネル リストをイネーブルにします。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# smart-tunnel enable apps1
hostname(config-group-webvpn)
 

次のコマンドは、apps1 という名前のリストをグループ ポリシーから削除し、デフォルト グループ ポリシーからスマート トンネル リストを継承します。

hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# no smart-tunnel
hostname(config-group-webvpn)
 

 
関連コマンド

コマンド
説明

show running-config webvpn

クライアントレス SSL VPN コンフィギュレーションを、すべてのスマート トンネル リスト エントリを含めて表示します。

smart-tunnel auto-start

ユーザのログイン時にスマート トンネル アクセスを自動的に開始します。

smart-tunnel disable

スマート トンネル アクセスを使用禁止にします。

smart-tunnel list

プライベート サイトへの接続にクライアントレス SSL VPN セッションを使用できるアプリケーションのリストにエントリを追加します。

 

smart-tunnel list

クライアントレス(ブラウザベース)SSL VPN セッションを使用してプライベート サイトに接続可能なアプリケーションのリストを入力するには、webvpn コンフィギュレーション モードで smart-tunnel list コマンドを使用します。

[ no ] smart-tunnel list list application path [ platform OS ] [ hash ]

アプリケーションをリストから削除するには、エントリを指定してコマンドの no 形式を使用します。適応型セキュリティ アプライアンス コンフィギュレーションからアプリケーションのリスト全体を削除するには、リストだけを指定してコマンドの no 形式を使用します。

no smart-tunnel list list

 
構文の説明

list

アプリケーションまたはプログラムのリストの名前。スペースを含む場合、名前の前後に引用符を使用します。コンフィギュレーションに存在しないリストの場合、CLI が作成します。存在する場合、リストにエントリを追加します。

application

スマート トンネル アクセスを許可されたアプリケーションの名前。文字列は最大 64 文字まで使用できます。

path

Mac OS の場合、アプリケーションのフル パスです。Windows の場合、アプリケーションのファイル名か、アプリケーションのパスの全体または一部(ファイル名を含む)です。文字列は最大 128 文字まで使用できます。

platform OS

(OS が Microsoft Windows の場合は任意) windows または mac を入力してアプリケーションのホストを指定します。

hash

(任意、Windows だけに適用)この値は、SHA-1 アルゴリズムを使用してハッシュを計算するユーティリティにアプリケーションのチェックサム(実行ファイルのチェックサム)を入力して求めます。ユーティリティの一例として、Microsoft File Checksum Integrity Verifier(FCIV)があります。 http://support.microsoft.com/kb/841290/ で入手できます。FCIV のインストール後、ハッシュを計算するアプリケーションの一時コピーをスペースを含まないパス(c:/fciv.exe など)に移し、コマンドラインに fciv.exe -sha1 application (たとえば、 fciv.exe -sha1 c:¥msimn.exe )と入力すると、SHA-1 ハッシュが表示されます。

SHA-1 ハッシュは、いつでも 40 文字の 16 進数になります。

 
デフォルト

Windows がデフォルトのプラットフォームです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

8.0(4)

platform OS が追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンス には複数のスマート トンネル リストを設定できますが、指定するグループ ポリシーやユーザ名に複数のスマート トンネル リストを割り当てることはできません。スマート トンネル リストを入力するには、各アプリケーションにつき 1 回 smart-tunnel list コマンドを入力します。 list 文字列には同じものを入力し、 application path には OS に対し一意なものを指定します。リストにサポートさせる OS につき 1 回、コマンドを入力します。

エントリで指定された OS と一致しない場合、セッションはリスト エントリを無視します。アプリケーションのパスが存在しない場合も、エントリは無視されます。

SSL VPN コンフィギュレーション内のスマート リストのエントリを参照するには、特権 EXEC モードで show running-config webvpn smart-tunnel コマンドを入力します。

path は、コンピュータ上のものと一致している必要がありますが、フルパスである必要はありません。たとえば、 path の内容が実行ファイルと拡張子だけということも可能です。

スマート トンネルには次のような要件があります。

スマート トンネル接続の発信側リモート ホストでは、32 ビット バージョンの Microsoft Windows Vista、Windows XP、Windows 2000 または Mac OS 10.4 もしくは 10.5 が動作している必要があります。

スマート トンネルまたはポート フォワーディングを使用する Microsoft Windows Vista ユーザは、ASA の URL を信頼済みサイトゾーンに追加する必要があります。信頼済みサイトゾーンにアクセスするには、Internet Explorer を起動し、[Tools] > [Internet Options] > [Security] タブと選択する必要があります。Vista ユーザは、スマート トンネル アクセスを容易にするために保護モードをディセーブルにすることも可能ですが、コンピュータの攻撃に対する脆弱性が増すため、この方法を使用しないことを推奨します。

ブラウザでは、Java と Microsoft ActiveX のいずれかまたは両方をイネーブルにしておく必要があります。

スマート トンネルの Mac OS サポートでは、Safari 3.1.1 以降が必要です。

Microsoft Windows では、Winsock 2、TCP ベースのアプリケーションだけがスマート トンネル アクセスを許可されます。

Mac OS では、SSL ライブラリに動的にリンクされた TCP を使用するアプリケーションが、スマート トンネルで動作可能です。次のタイプのアプリケーションは、スマート トンネルで動作しません。

libsocket コールの位置特定に dlopen または dlsym を使用するアプリケーション。

libsocket コールの位置特定のため静的リンクされたアプリケーション。

2 レベルの名前空間を使用する Mac OS アプリケーション。

Mac OS のコンソールベース アプリケーション(Telnet、SSH、cURL など)。

Mac OS の PowerPC タイプ アプリケーション。Mac OS アプリケーションのタイプを判別するには、アイコンを右クリックして [Get Info] を選択します。

Mac OS では、ポータル ページで開始されたアプリケーションだけがスマート トンネル セッションを確立できます。この要件には、Firefox のスマート トンネル サポートが含まれます。スマート トンネルの最初の使用中に Firefox を使用して Firefox の別インスタンスを開始するには、csco_st という名前のユーザ プロファイルが必要です。このユーザ プロファイルが存在しない場合、セッションはユーザに対して作成を促します。

スマート トンネルには、次のような制限事項が適用されます。

リモート コンピュータから適応型セキュリティ アプライアンスへのアクセスにプロキシ サーバが必要な場合、プロキシ サービスから除外する URL リストに接続の終端側の URL が含まれている必要があります。このコンフィギュレーションでは、スマート トンネルは基本認証だけをサポートします。

セキュリティ アプライアンスは Microsoft Outlook Exchange(MAPI)プロキシをサポートしていません。スマート トンネル機能、ポート フォワーディングともに MAPI をサポートしません。MAPI プロトコルを使用した Microsoft Outlook Exchange 通信では、リモート ユーザが AnyConnect を使用する必要があります。

スマート トンネル自動サインオン機能は、Microsoft Windows OS 上で Microsoft WININET ライブラリを使用して HTTP および HTTPS 通信を行うアプリケーションだけをサポートしています。たとえば、Microsoft Internet Explorer は Web サーバとの通信に WININET ダイナミック リンク ライブラリを使用します。

グループ ポリシーまたはローカル ユーザ ポリシーがサポートするのは、最大でスマート トンネル アクセス対象アプリケーションのリスト 1 つおよびスマート トンネル自動サインオン サーバのリスト 1 つまでです。

ステートフル フェールオーバーでは、スマート トンネル接続は保持されません。フェールオーバー後にユーザが再接続する必要があります。


) スマート トンネル アクセスに突然問題が発生した場合、アプリケーションのアップグレード時に path の値が最新のものでなかったことが原因の場合があります。たとえば、アプリケーションの製造企業が買収されると、次のアップグレードでアプリケーションのデフォルト パスが変更されることがよくあります。


ハッシュの入力によって、クライアントレス SSL VPN が path で指定した文字列と一致する不正なファイルを承認していないことを合理的に確認できます。チェックサムはアプリケーションのバージョンやパッチによって異なるため、入力した hash はリモート ホスト上の 1 つのバージョンまたはパッチだけに一致します。アプリケーションの複数のバージョンの hash を指定する場合、各バージョンにつき 1 回 smart-tunnel list コマンドを入力します。その際、 list 文字列は同じものを使用し、 application 文字列と hash 値はコマンドごとに別のものを指定します。


hash 値を入力し、かつアプリケーションの今後のバージョンやパッチでもスマート トンネル アクセス使用をサポートさせる場合、スマート トンネル リストのメンテナンスが必要になります。スマート トンネル アクセスに突然問題が発生した場合、アプリケーションのアップグレード時にアプリケーション リストに含まれる hash 値が最新のものでなかったことが原因の場合があります。hash 値を入力しなければ、この問題を避けられます。


スマート トンネル リストのコンフィギュレーションに続き、 smart-tunnel auto-start コマンドまたは smart-tunnel enable コマンドを使用して、リストをグループ ポリシーまたはユーザ名に割り当てます。

次のコマンドは、connect.exe という Microsoft Windows アプリケーションを apps1 という名前のスマート トンネル リストに追加します。

hostname(config-webvpn)# smart-tunnel list apps1 LotusSametime connect.exe
 

次のコマンドは、msimn.exe という Windows アプリケーションを追加し、リモート ホスト側のアプリケーションのハッシュを要求して、スマート トンネル アクセスを許可するため入力された最後の文字列とマッチングします。

hostname(config-webvpn)# smart-tunnel list apps1 OutlookExpress msimn.exe 4739647b255d3ea865554e27c3f96b9476e75061

次のコマンドは、Mac OS ブラウザ Safari のスマート トンネル サポートを提供します。

hostname(config-webvpn)# smart-tunnel list apps1 Safari /Applications/Safari platform mac
 
 

 
関連コマンド

コマンド
説明

show running-config webvpn smart-tunnel

適応型セキュリティ アプライアンスのスマート トンネル コンフィギュレーションを表示します。

smart-tunnel auto-start

ユーザのログイン時にスマート トンネル アクセスを自動的に開始します。

smart-tunnel disable

スマート トンネル アクセスを使用禁止にします。

smart-tunnel enable

ユーザ ログイン時にスマート トンネル アクセスをイネーブルにします。ただし、ユーザがクライアントレス SSL VPN ポータル ページの [Application Access] > [Start Smart Tunnels] ボタンを使用して、手動でスマート トンネル アクセスを開始する必要があります。

smart-tunnel network

スマート トンネル トンネル ポリシーの設定に使用するホストのリストを作成するには、webvpn コンフィギュレーション モードで smart-tunnel network コマンドを使用します。スマート トンネル トンネル ポリシー用ホストのリストを不許可にするには、このコマンドの [no] 形式を使用します。

smart-tunnel network

no smart-tunnel network

 
構文の説明

host <host mask>

ホスト名(*.cisco.com など)。

ip <ip address>

ネットワークの IP アドレス。

<netmask>

ネットワークのネットマスク。

<network name>

トンネル ポリシーに適用するネットワーク名。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

 
コマンド履歴

リリース
変更内容

8.3.1

このコマンドが追加されました。

 
使用上のガイドライン

スマート トンネルがオンになっている場合、ネットワーク(ホストのセット)を設定する smart-tunnel network コマンド、および指定されたスマート トンネル ネットワークを使用してポリシーをユーザに強制適用する smart-tunnel tunnel-policy コマンドによって、トンネル外のトラフィックを許可できます。

次に、 smart-tunnel network コマンドの使用例を示します。

ciscoasa(config-webvpn)# smart-tunnel network testnet ip 192.168.0.0 255.255.255
 

 
関連コマンド

コマンド
説明

smart-tunnel tunnel-policy

指定されたスマート トンネル ネットワークを使用してポリシーをユーザに強制適用します。

smart-tunnel notification-icon

CLI がオフの場合、VPN セッションはユーザがブラウザを終了させたときに閉じられます。CLI がオンの場合、webvpn コンフィギュレーション モードで smart-tunnel notification コマンドを使用して、通知(システム トレイ)エリアのアイコンを使用可能にします。このコマンドを使用すると、VPN セッションはユーザがブラウザを終了させても閉じられません。このため、ユーザが非ブラウザ アプリケーション(vnc など)にアクセスしている場合、ブラウザがすべて閉じられた後でも接続可能な状態になります。ただし、通知アイコンによるログアウトが発生することはあります。通知アイコンを許可しない場合、このコマンドの [no] 形式を使用します。

smart-tunnel notification-icon

[no] smart-tunnel notification icon

 
構文の説明

このコマンドには、変数や引数はありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

 
コマンド履歴

リリース
変更内容

8.3.1

このコマンドが追加されました。

 
使用上のガイドライン

ブラウザがすべて閉じられたときにエンド ユーザをログオフさせたい場合、このコマンドの no バージョンを使用します。ブラウザがすべて閉じられた後にもユーザを VPN にアクセスさせ、ログオフには通知アイコンを使用する場合、この smart-tunnel notification-icon コマンドを使用します。スマート トンネルは、ブラウザ外で発生するログオフ イベント(コンソール CLI でのログオフなど)を検出しない場合があります。このアイコンは、VPN セッションの状態を表示するものではありません。クライアントレス ポータルでは、ユーザがすぐにログオフした場合でも、ログオフとポータルの実際の終了を検出するために、いくらか時間がかかることがあります。vpn-sessiondb logoff を実行すると、ユーザはただちにログオフしますが、ポータル ページの表示がリフレッシュされ現在のセッション状態を反映するまで、最大 1 分かかる場合があります。アイコンは、スマート トンネルによってトンネリングされる次の操作(アプリケーションが新規接続の作成を試行するときなど)まで残ります。

次に、 smart-tunnel notification icon コマンドの使用例を示します。

ciscoasa(config-webvpn)# no smart-tunnel notification-icon
 

 
関連コマンド

コマンド
説明

vpn-sessiondb logoff

すべての、または選択された VPN セッションをログオフします。

smart-tunnel tunnel-policy

スマート トンネル トンネル ポリシーを特定のグループ ポリシーまたはユーザ ポリシーに適用するには、コンフィギュレーション webvpn モードで smart-tunnel tunnel-policy コマンドを使用します。特定のグループからスマート トンネル トンネル ポリシーの適用をはずすには、このコマンドの [no] 形式を使用します。

smart-tunnel tunnel-policy

[no] smart-tunnel tunnel-policy

 
構文の説明

excludespecified

ネットワーク名で指定されたネットワークの外のネットワークだけをトンネリングします。

<network name>

トンネリングするネットワークをリストします。

tunnelall

すべてをトンネリング(暗号化)します。

tunnelspecified

ネットワーク名で指定されたネットワークだけをトンネリングします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

 
コマンド履歴

リリース
変更内容

8.3.1

このコマンドが追加されました。

 
使用上のガイドライン

スマート トンネルがオンになっている場合、ネットワーク(ホストのセット)を設定する smart-tunnel network コマンド、および指定されたスマート トンネル ネットワークを使用してポリシーをユーザに強制適用する smart-tunnel tunnel-policy コマンドによって、トンネル外のトラフィックを許可できます。

次に、 smart-tunnel tunnel-policy コマンドの使用例を示します。

ciscoasa(config-username-webvpn)# smart-tunnel tunnel-policy tunnelspecified testnet

 
関連コマンド

コマンド
説明

smart-tunnel network

スマート トンネル ポリシー設定のためホストのリストを作成します。

smtp from-address

ローカル CA サーバが生成する(ワンタイム パスワードの配布など)すべての電子メールの From: フィールドで使用する電子メール アドレスを指定するには、CA サーバ コンフィギュレーション モードで smtp from-address コマンドを使用します。電子メール アドレスをデフォルトにリセットするには、このコマンドの no フォームを使用します。

smtp from-address e-mail_address

no smtp from-address

 
構文の説明

e-mail_address

CA サーバが生成するすべての電子メールの From: フィールドに表示される電子メール アドレスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

次の例では、ローカル CA サーバからのすべての電子メールの From: フィールドに ca-admin@asa1-ca.example.com を含めるよう指定しています。

hostname(config)# crypto ca server
hostname(config-ca-server)# smtp from-address ca-admin@asa1-ca.example.com
hostname(config-ca-server)#
 

次の例では、ローカル CA サーバからのすべての電子メールの From: フィールドを、デフォルト アドレスの admin@asa1-ca.example.com にリセットしています。

hostname(config)# crypto ca server
hostname(config-ca-server)# smtp from-address admin@asa1-ca.example.com
hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。

smtp subject

ローカル CA サーバが生成するすべての電子メールの件名フィールドに表示されるテキストをカスタマイズします。

smtp subject

ローカル Certificate Authority(CA; 認証局)サーバが生成するすべての電子メール(ワンタイム パスワードの配布など)の件名フィールドに表示されるテキストをカスタマイズするには、CA サーバ コンフィギュレーション モードで smtp subject コマンドを使用します。デフォルトのテキストにリセットするには、このコマンドの no 形式を使用します。

smtp subject subject-line

no smtp subject

 
構文の説明

subject-line

CA サーバが送信するすべての電子メールの Subj: フィールドに表示されるテキストをカスタマイズします。文字数は最大 127 です。

 
デフォルト

デフォルトの Subj: フィールドのテキストは、「Certificate Enrollment Invitation」です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

次の例では、CA サーバからのすべての電子メールについて、Subj: フィールドに Action: Enroll for a certificate というテキストが表示されるよう指定しています。

hostname(config)# crypto ca server
hostname(config-ca-server)# smtp subject Action: Enroll for a certificate
hostname(config-ca-server)#
 

次の例では、CA サーバからのすべての電子メールについて、Subj: フィールドのテキストをデフォルト テキストの「Certificate Enrollment Invitation」にリセットしています。

hostname(config)# crypto ca server
hostname(config-ca-server)# no smtp subject
hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。

smtp from-address

ローカル CA サーバが生成するすべての電子メールの From: フィールドで使用する電子メール アドレスを指定します。

smtps

SMTPS コンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで smtps コマンドを使用します。SMTPS コマンド モードで入力したすべてのコマンドを削除するには、このコマンドの no バージョンを使用します。SMTPS は、SSL 接続を介した電子メール送信を可能にする TCP/IP プロトコルです。

smtps

no smtps

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

次に、SMTPS コンフィギュレーション モードを開始する例を示します。

hostname(config)# smtps
hostname(config-smtps)#

 
関連コマンド

コマンド
説明

clear configure smtps

SMTPS コンフィギュレーションを削除します。

show running-config smtps

SMTPS の実行コンフィギュレーションを表示します。

smtp-server

SMTP サーバを設定するには、グローバル コンフィギュレーション モードで smtp-server コマンドを使用します。コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

smtp-server { primary_server } [ backup_server ]

no smtp-server

 
構文の説明

backup_server

プライマリ SMTP サーバが使用できない場合にイベント メッセージを中継するバックアップ SMTP サーバを指定します。IP アドレスと DNS 名のいずれかを使用します。

primary_server

プライマリ SMTP サーバを指定します。IP アドレスと DNS 名のいずれかを使用します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスには、イベントが発生したときに外部のエンティティに通知するためにイベント システムが使用できる内部 SMTP クライアントが含まれています。イベント通知を受信した後、指定した電子メール アドレスに転送するよう SMTP サーバを設定できます。SMTP ファシリティは、適応型セキュリティ アプライアンスで電子メール イベントをイネーブルにした場合にだけアクティブになります。

次の例では、IP アドレスが 10.1.1.24 の SMTP サーバを設定し、IP アドレスが 10.1.1.34 のバックアップ SMTP サーバを設定しています。

hostname(config)# smtp-server 10.1.1.24 10.1.1.34
 

snmp-map

SNMP インスペクションのパラメータ定義用に特定のマップを指定する場合、グローバル コンフィギュレーション モードで snmp-map コマンドを使用します。マップを削除するには、このコマンドの no 形式を使用します。

snmp-map map_name

no snmp-map map_name

 
構文の説明

map_name

SNMP マップ名です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

SNMP インスペクションのパラメータ定義用に特定のマップを指定するには、snmp-map コマンドを使用します。このコマンドを入力すると、システムは SNMP マップ コンフィギュレーション モードに入り、特定のマップの定義に使用するさまざまなコマンドを入力できるようになります。SNMP マップを定義した後、inspect snmp コマンドでマップをイネーブルにします。次に、 class-map policy-map service-policy の各コマンドを使用して、トラフィックのクラス定義、inspect コマンドのクラスへの適用、1 つ以上のインターフェイスへのポリシー適用を定義します。

次の例に、SNMP トラフィックの指定、SNMP マップの定義、ポリシーの定義、外部インターフェイスへのポリシー適用の実行方法を示します。

hostname(config)# access-list snmp-acl permit tcp any any eq 161
hostname(config)# access-list snmp-acl permit tcp any any eq 162
hostname(config)# class-map snmp-port
hostname(config-cmap)# match access-list snmp-acl
hostname(config-cmap)# exit
hostname(config)# snmp-map inbound_snmp
hostname(config-snmp-map)# deny version 1
hostname(config-snmp-map)# exit
hostname(config)# policy-map inbound_policy
hostname(config-pmap)# class snmp-port
hostname(config-pmap-c)# inspect snmp inbound_snmp
hostname(config-pmap-c)#
 

 
関連コマンド

 

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

deny version

特定のバージョンの SNMP を使用したトラフィックを不許可にします。

inspect snmp

SNMP アプリケーション インスペクションをイネーブルにします。

policy-map

特定のセキュリティ アクションにクラス マップを関連付けます。

snmp-server community

SNMP コミュニティ ストリングを設定するには、グローバル コンフィギュレーション モードで snmp-server community コマンドを使用します。SNMP コミュニティ ストリングを削除するには、このコマンドの no 形式を使用します。

snmp-server community [ 0 | 8 ] community- string

no snmp-server community [ 0 | 8 ] community- string

 
構文の説明

0

(任意)非暗号化(クリア テキスト)コミュニティ ストリングが続くことを指定します。

8

暗号化されたコミュニティ ストリングが続くことを指定します。

community- string

SNMP コミュニティ ストリングを設定します。暗号化されたパスワード、または非暗号化(クリア テキスト)フォーマットのパスワードです。コミュニティ ストリングは、最大で 32 文字です。

 
デフォルト

デフォルトのコミュニティ ストリングは「public」です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

8.2(1)

text 引数が community-string 引数に変更されました。

8.3(1)

暗号化パスワードのサポートが追加されました。

 
使用上のガイドライン

SNMP コミュニティ ストリングは、SNMP 管理ステーションと、管理対象のネットワーク ノードとの共有秘密です。管理ステーションとデバイス間のバージョン 1 および 2c 通信だけに使用されます。適応型セキュリティ アプライアンスは、キーを使用して着信 SNMP 要求が有効かどうかを判定します。

たとえば、あるサイトにコミュニティ ストリングを指定し、さらに同じストリングを使用してルータ、適応型セキュリティ アプライアンス、管理ステーションを設定できます。適応型セキュリティ アプライアンスはこのストリングを使用し、不正なコミュニティ ストリングを持つ要求には応答しません。

暗号化されたコミュニティ ストリングを使用すると、暗号化された形式だけがすべてのシステムで参照可能になります(CLI、ASDM、CSM など)。クリア テキストのパスワードは参照できなくなります。

通常、暗号化されたコミュニティ ストリングは常時適応型セキュリティ アプライアンスによって生成され、入力するのはクリア テキスト形式になります。


) 適応型セキュリティ アプライアンス ソフトウェアをバージョン 8.3(1) から下のバージョンにダウングレードし、暗号化されたパスワードを設定した場合、まず no key config-key password encryption コマンドを使用して暗号化されたパスワードをクリア テキストに戻してから結果を保存する必要があります。


次の例では、コミュニティ ストリングを「onceuponatime」に設定しています。

hostname(config)# snmp-server community onceuponatime
 

次の例では、暗号化されたコミュニティ ストリングを設定しています。

hostname(config)# snmp-server community 8 LvAu+JdFG+GjPmZYlKvAhXpb28E=
 

次の例では、非暗号化コミュニティ ストリングを設定しています。

hostname(config)# snmp-server community 0 cisco
 

 
関連コマンド

コマンド
説明

clear configure snmp-server

SNMP カウンタをクリアします。

snmp-server contact

SNMP の連絡先名を設定します。

snmp-server enable

適応型セキュリティ アプライアンスで SNMP をイネーブルにします。

snmp-server host

SNMP ホスト アドレスを設定します。

snmp-server location

SNMP サーバのロケーション文字列を設定します。

snmp-server contact

SNMP サーバの連絡先名を設定するには、グローバル コンフィギュレーション モードで snmp-server contact コマンドを使用します。SNMP 連絡先名を削除するには、このコマンドの no 形式を使用します。

snmp-server contact text

no snmp-server contact [ text ]

 
構文の説明

text

担当者または適応型セキュリティ アプライアンスシステム管理者の名前を指定します。名前では大文字と小文字が区別され、最大 127 文字設定できます。スペースも使用できますが、複数スペースは単独スペースに短縮されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

次の例では、SNMP サーバの連絡先を EmployeeA に設定しています。

hostname(config)# snmp-server contact EmployeeA
 

 
関連コマンド

コマンド
説明

snmp-server community

SNMP コミュニティ ストリングを設定します。

snmp-server enable

適応型セキュリティ アプライアンスで SNMP をイネーブルにします。

snmp-server enable traps

SNMP トラップをイネーブルにします。

snmp-server host

SNMP ホスト アドレスを設定します。

snmp-server location

SNMP サーバのロケーション文字列を設定します。

snmp-server enable

適応型セキュリティ アプライアンスで SNMP サーバをイネーブルにするには、グローバル コンフィギュレーション モードで snmp-server enable コマンドを使用します。SNMP サーバをディセーブルにするには、このコマンドの no 形式を使用します。

snmp-server enable

no snmp-server enable

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

SNMP サーバはイネーブルに設定されています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

SNMP トラップやその他のコンフィギュレーションの設定や再設定をせずに、簡単に SNMP のイネーブル化とディセーブル化が行えます。

次の例では、SNMP をイネーブルにし、SNMP ホストとトラップを設定してから、syslog メッセージとしてトラップを送信しています。

hostname(config)# snmp-server enable
hostname(config)# snmp-server community onceuponatime
hostname(config)# snmp-server location Building 42, Sector 54
hostname(config)# snmp-server contact EmployeeB
hostname(config)# snmp-server host perimeter 10.1.2.42
hostname(config)# snmp-server enable traps all
hostname(config)# logging history 7
hostname(config)# logging enable
 

 
関連コマンド

コマンド
説明

snmp-server community

SNMP コミュニティ ストリングを設定します。

snmp-server contact

SNMP の連絡先名を設定します。

snmp-server enable traps

SNMP トラップをイネーブルにします。

snmp-server host

SNMP ホスト アドレスを設定します。

snmp-server location

SNMP サーバのロケーション文字列を設定します。

snmp-server enable traps

適応型セキュリティ アプライアンスの NMS へのトラップ送信をイネーブルにするには、グローバル コンフィギュレーション モードで snmp-server enable traps コマンドを使用します。トラップをディセーブルにするには、このコマンドの no 形式を使用します。

snmp-server enable traps [ all | syslog | snmp [ trap ] [...] | entity [ trap ] [...] | ipsec [ trap ] [...] | remote-access [ trap ]]

no snmp-server enable traps [ all | syslog | snmp [ trap ] [...] | entity [ trap ] [...] | ipsec [ trap ] [...] | remote-access [ trap ]]

 
構文の説明

all

すべてのトラップをイネーブルにします。

entity [ trap ]

エンティティ トラップをイネーブルにします。次のような entity トラップが含まれます。

config-change

fru-insert

fru-remove

ipsec [ trap ]

IPSec トラップをイネーブルにします。次のような ipsec トラップが含まれます。

start

stop

remote-access [ trap ]

リモート アクセス トラップをイネーブルにします。次のようなリモート アクセス トラップが含まれます。

session-threshold-exceeded

snmp [ trap ]

SNMP トラップをイネーブルにします。デフォルトで、すべての SNMP トラップがイネーブルになっています。次のような snmp トラップがあります。

authentication

linkup

linkdown

coldstart

syslog

syslog メッセージ トラップをイネーブルにします。

 
デフォルト

デフォルト コンフィギュレーションでは、すべての snmp トラップがイネーブルになっています( snmp-server enable traps snmp authentication linkup linkdown coldstart )。トラップは、このコマンド no 形式を snmp キーワードとともに使用してディセーブルにできます。ただし、 clear configure snmp-server コマンドは、デフォルトでイネーブルの SNMP トラップを復元します。

このコマンドをトラップ タイプを指定せずに入力した場合、デフォルトは syslog になります( syslog トラップに加えて、デフォルト snmp トラップもイネーブルのままになります)。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

個別のトラップやトラップのセットをイネーブルにするには、各機能タイプについてこのコマンドを入力します。すべてのトラップをイネーブルにするには、 all キーワードを入力します。

トラップを NMS に送るには、 logging history コマンドを入力し、 logging enable コマンドでログの記録をイネーブルにします。

次の例では、SNMP をイネーブルにし、SNMP ホストとトラップを設定してから、syslog メッセージとしてトラップを送信しています。

hostname(config)# snmp-server enable
hostname(config)# snmp-server community onceuponatime
hostname(config)# snmp-server location Building 42, Sector 54
hostname(config)# snmp-server contact EmployeeB
hostname(config)# snmp-server host perimeter 10.1.2.42
hostname(config)# snmp-server enable traps all
hostname(config)# logging history 7
hostname(config)# logging enable
 

 
関連コマンド

コマンド
説明

snmp-server community

SNMP コミュニティ ストリングを設定します。

snmp-server contact

SNMP の連絡先名を設定します。

snmp-server enable

適応型セキュリティ アプライアンスで SNMP をイネーブルにします。

snmp-server host

SNMP ホスト アドレスを設定します。

snmp-server location

SNMP サーバのロケーション文字列を設定します。

snmp-server group

新規 SNMP グループを設定するには、グローバル コンフィギュレーション モードで snmp-server group コマンドを使用します。指定された SNMP グループを削除するには、このコマンドの no フォームを使用します。

snmp-server group group-name { v3 { auth | noauth | priv }}

no snmp-server group group-name { v3 { auth | noauth | priv }}

 
構文の説明

auth

暗号化なしのパケット認証を指定します。

group-name

グループ名を指定します。

noauth

パケット認証なしを指定します。

priv

暗号化されたパケット認証を指定します。

v3

SNMP バージョン 3 セキュリティ モデルをグループで使用するよう指定します。このモデルは、サポートされているセキュリティ モデル中最もセキュアです。このバージョンでは、認証の特性を明示的に設定できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

8.3(1)

パスワード暗号化のサポートが追加されました。

 
使用上のガイドライン

バージョン 3 セキュリティ モデルを使用するには、まず SNMP グループを設定してから、SNMP ユーザを設定した後、SNMP ホストを設定する必要があります。バージョン 3 とセキュリティ レベルの指定も必要です。コミュニティ ストリングが内部的に設定されている場合、「public」という名前の 2 つのグループが自動的に作成されます。バージョン 1 セキュリティ モデル用と、バージョン 2c セキュリティ モデル用です。コミュニティ ストリングを削除すると、設定されたグループは両方とも削除されます。


) あるグループに属するよう設定されたユーザのセキュリティ モデルは、グループと同じである必要があります。


適応型セキュリティ アプライアンスの起動やアップグレードでは、単一の数字のパスワードや、数字で始まりその後にスペースが続くパスワードをサポートしなくなりました。たとえば、0 pass や 1 は不正なパスワードです。


) 適応型セキュリティ アプライアンス ソフトウェアをバージョン 8.3(1) から下のバージョンにダウングレードし、暗号化されたパスワードを設定した場合、まず no key config-key password encryption コマンドを使用して暗号化されたパスワードをクリア テキストに戻してから結果を保存する必要があります。


次の例に、適応型セキュリティ アプライアンスが SNMP バージョン 3 セキュリティ モデルを使用して SNMP 要求を受信する方法について示します。これには、グループ、ユーザ、ホストの作成が含まれます。

hostname(config)# snmp-server group v3 vpn-group priv
hostname(config)# snmp-server user admin vpn group v3 auth sha letmein priv 3des cisco123
hostname(config)# snmp-server host mgmt 10.0.0.1 version 3 priv admin
 

 
関連コマンド

コマンド
説明

clear configure snmp-server

SNMP コンフィギュレーション カウンタをクリアします。

snmp-server host

SNMP ホスト アドレスを設定します。

snmp-server user

新しい SNMP ユーザを作成します。

snmp-server host

適応型セキュリティ アプライアンスで SNMP を使用可能な NMS を指定するには、グローバル コンフィギュレーション モードで snmp-server host コマンドを使用します。NMS をディセーブルにするには、このコマンドの no 形式を使用します。

snmp-server host { interface { hostname | ip_address }} [ trap | poll ] [ community 0 | 8 community-string ] [ version { 1 | 2c | 3 username }] [ udp-port port ]

no snmp-server host { interface { hostname | ip_address }} [ trap | poll ] [ community 0 | 8 community-string ] [ version { 1 | 2c | 3 username }] [ udp-port port ]

 
構文の説明

0

(任意)非暗号化(クリア テキスト)コミュニティ ストリングが続くことを指定します。

8

暗号化されたコミュニティ ストリングが続くことを指定します。

community

NMS からの要求や NMS に送られるトラップの生成時にデフォルト以外のストリングが必要であることを指定します。SNMP バージョン 1 または 2c だけで有効です。

community-string

通知とともに、または NMS からの要求の中で送られる、パスワードに似たコミュニティ ストリングを指定します。コミュニティ ストリングは、最大で 32 文字です。暗号化フォーマットと非暗号化フォーマット(クリア テキスト)を使用できます。

hostname

SNMP 通知ホストを指定します。通常、NMS または SNMP マネージャです。

interface

NMS が適応型セキュリティ アプライアンスと通信するインターフェイスの名前を指定します。

ip_address

SNMP トラップの宛先または SNMP 要求の送信元となる NMS の IP アドレスを指定します。IPv4 アドレス だけ をサポートします。

poll

(任意)ホストのブラウズ(ポーリング)は許可するが、トラップは送信されないよう指定します。

port

NMS ホストの UDP ポート番号を設定します。

trap

(任意)トラップの送信だけを行い、ホストのブラウズ(ポーリング)は許可しないよう指定します。

udp-port

(任意)SNMP トラップが必ず NMS ホストに非デフォルト ポートで送信されるよう指定します。

username

ホストに送信されるトラップ PDU に埋め込まれるユーザ名を指定します。SNMP バージョン 3 だけで有効です。

version { 1 | 2c | 3 }

(任意)トラップ送信に使用する SNMP 通知のバージョンをバージョン 1、2c、3 に設定します。

 
デフォルト

デフォルトの UDP ポートは 162 です。

デフォルトのバージョンはバージョン 1 です。

SNMP トラップはデフォルトでイネーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

8.2(1)

SNMP バージョン 3 がサポートされました。

username 引数が導入されました。

text 引数が community-string 引数に変更されました。

interface_name 引数が interface 引数に変更されました。

8.3(1)

暗号化パスワードのサポートが追加されました。

 
使用上のガイドライン

現在使用中のポートに snmp-server host コマンドを設定すると、次のメッセージが表示されます。


警告 The UDP port port is in use by another feature. SNMP requests to the device will fail until thesnmp-server listen-port command is configured to use a different port.


既存の SNMP スレッドはポートが使用可能になるまで 60 秒ごとにポーリングを続け、ポートがまだ使用中の場合は syslog メッセージ %ASA-1-212001 を発行します。

バージョン 3 セキュリティ モデルを使用するには、まず SNMP グループ、その後 SNMP ユーザ、SNMP ホストと設定する必要があります。ユーザ名はデバイスで設定済みのものである必要があります。デバイスがフェールオーバー ペアのスタンバイ ユニットとして設定されている場合、SNMP エンジン ID とユーザ コンフィギュレーションはアクティブ ユニットから複製されます。このアクションによって、SNMP バージョン 3 クエリーから見たトランスペアレントなスイッチオーバーが可能になります。スイッチオーバー イベントに対応するための NMS のコンフィギュレーション変更は必要ありません。

暗号化されたコミュニティ ストリングを使用すると、暗号化された形式だけがすべてのシステムで参照可能になります(CLI、ASDM、CSM など)。クリア テキストのパスワードは参照できなくなります。

通常、暗号化されたコミュニティ ストリングは常時適応型セキュリティ アプライアンスによって生成され、入力するのはクリア テキスト形式になります。

適応型セキュリティ アプライアンスの起動やアップグレードでは、単一の数字のパスワードや、数字で始まりその後にスペースが続くパスワードをサポートしなくなりました。たとえば、0 pass や 1 は不正なパスワードです。


) 適応型セキュリティ アプライアンス ソフトウェアをバージョン 8.3(1) から下のバージョンにダウングレードし、暗号化されたパスワードを設定した場合、まず no key config-key password encryption コマンドを使用して暗号化されたパスワードをクリア テキストに戻してから結果を保存する必要があります。


次の例では、内部インターフェイスに接続されたホストを 192.0.2.5 に設定しています。

hostname(config)# snmp-server host inside 192.0.2.5
hostname(config)# snmp-server host inside 192.0.2.5 version 3 md5aes128 udp-port 190
 

次の例に、適応型セキュリティ アプライアンスが SNMP バージョン 3 セキュリティ モデルを使用して SNMP 要求を受信する方法について示します。これには、グループ、ユーザ、ホストの作成が含まれます。

hostname(config)# snmp-server group v3 vpn-group priv
hostname(config)# snmp-server user admin vpn group v3 auth sha letmein priv 3des cisco123
hostname(config)# snmp-server host mgmt 10.0.0.1 version 3 priv admin
 

次の例では、暗号化されたコミュニティ ストリングを使用するようホストを設定しています。

hostname(config)# snmp-server host mgmt 1.2.3.4 community 8 LvAu+JdFG+GjPmZYlKvAhXpb28E=
 

次の例では、非暗号化コミュニティ ストリングを使用するようホストを設定しています。

hostname(config)# snmp-server host mgmt 1.2.3.4 community 0 cisco
 

 
関連コマンド

コマンド
説明

clear configure snmp-server

SNMP コンフィギュレーション カウンタをクリアします。

snmp-server enable

適応型セキュリティ アプライアンスで SNMP をイネーブルにします。

snmp-server group

新規 SNMP グループを設定します。

snmp-server user

新規 SNMP ユーザを設定します。

snmp-server listen-port

SNMP 要求のリスニング ポートを設定するには、グローバル コンフィギュレーション モードで snmp-server listen-port コマンドを使用します。デフォルト ポートに戻すには、コマンドの no 形式を使用します。

snmp-server listen-port lport

no snmp-server listen-port lport

 
構文の説明

lport

着信要求が受け付けられるポートです。 1

1.snmp-server listen-port コマンドは管理コンテキストだけで使用でき、システム コンテキストでは使用できません。

 
デフォルト

デフォルトのポートは 161 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

現在使用中のポートに snmp-server listen-port コマンドを設定すると、次のメッセージが表示されます。


警告 The UDP port port is in use by another feature. SNMP requests to the device will fail until thesnmp-server listen-port command is configured to use a different port.


既存の SNMP スレッドはポートが使用可能になるまで 60 秒ごとにポーリングを続け、ポートがまだ使用中の場合は syslog メッセージ %ASA-1-212001 を発行します。

次の例では、リスニング ポートを 192 に設定しています。

hostname(config)# snmp-server listen-port 192
 

 
関連コマンド

コマンド
説明

snmp-server community

SNMP コミュニティ ストリングを設定します。

snmp-server contact

SNMP の連絡先名を設定します。

snmp-server enable

適応型セキュリティ アプライアンスで SNMP をイネーブルにします。

snmp-server enable traps

SNMP トラップをイネーブルにします。

snmp-server location

SNMP サーバのロケーション文字列を設定します。

snmp-server location

適応型セキュリティ アプライアンスの SNMP のロケーションを設定するには、グローバル コンフィギュレーション モードで snmp-server location コマンドを使用します。ロケーションを削除するには、このコマンドの no 形式を使用します。

snmp-server location text

no snmp-server location [ text ]

 
構文の説明

location text

セキュリティ アプライアンスのロケーションを指定します。 location text では大文字と小文字が区別され、最大 127 文字設定できます。スペースも使用できますが、複数スペースは単独スペースに短縮されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

次の例では、SNMP の適応型セキュリティ アプライアンスのロケーションを Building 42、Sector 54 に設定しています。

hostname(config)# snmp-server location Building 42, Sector 54
 

 
関連コマンド

コマンド
説明

snmp-server community

SNMP コミュニティ ストリングを設定します。

snmp-server contact

SNMP の連絡先名を設定します。

snmp-server enable

適応型セキュリティ アプライアンスで SNMP をイネーブルにします。

snmp-server enable traps

SNMP トラップをイネーブルにします。

snmp-server host

SNMP ホスト アドレスを設定します。

snmp-server user

新規 SNMP ユーザを設定するには、グローバル コンフィギュレーション モードで snmp-server user コマンドを使用します。指定した SNMP ユーザを削除するには、このコマンドの no 形式を使用します。

snmp-server user username group-name { v3 [encrypted] [auth {md5 | sha} auth-password] } [priv { des | 3des | aes { 128 | 192 | 256 }} priv-password ]

no snmp-server user username group-name { v3 [encrypted] [auth {md5 | sha} auth-password] } [priv { des | 3des | aes { 128 | 192 | 256 }} priv-password ]

 
構文の説明

128

(任意)暗号化に 128 ビット AES アルゴリズムを使用するよう指定します。

192

(任意)暗号化に 192 ビット AES アルゴリズムを使用するよう指定します。

256

(任意)暗号化に 256 ビット AES アルゴリズムを使用するよう指定します。

3des

(任意)暗号化に 168 ビット 3DES アルゴリズムを使用するよう指定します。

aes

(任意)暗号化に AES アルゴリズムを使用するよう指定します。

auth

(任意)使用する認証レベルを指定します。

auth-password

(任意)エージェントでのホストからのパケット受信をイネーブルにするストリングを指定します。最小の長さは 1 文字、最低 8 文字で英文字と数字を含むものを推奨します。最大の長さは 64 文字以内です。プレーン テキストのパスワードか、ローカライズされた MD5 ダイジェストを指定できます。ローカライズされた MD5 または SHA ダイジェストを持っている場合は、プレーン テキストのパスワードではなく、その文字列を指定できます。ダイジェストは、aa:bb:cc:dd という形式であることが必要です(aa、bb、cc は 16 進数の値)。ダイジェストは正確に 16 個のオクテットであることが必要です。

des

(任意)暗号化に 56 ビット DES アルゴリズムを使用するよう指定します。

encrypted

(任意)パスワードを暗号化された形式で表示するかどうかを指定します。暗号化されたパスワードは、16 進数形式であることが必要です。

group-name

ユーザが所属するグループの名前を指定します。

md5

(任意)HMAC-MD5-96 認証レベルを指定します。

priv

暗号化されたパケット認証を指定します。

priv-password

(任意)プライバシー ユーザ パスワードを示すストリングを指定します。最小の長さは 1 文字、最低 8 文字で英文字と数字を含むものを推奨します。最大の長さは 64 文字以内です。プレーン テキストのパスワードか、ローカライズされた MD5 ダイジェストを指定できます。ローカライズされた MD5 または SHA ダイジェストを持っている場合は、プレーン テキストのパスワードではなく、その文字列を指定できます。ダイジェストは、aa:bb:cc:dd という形式であることが必要です(aa、bb、cc は 16 進数の値)。ダイジェストは正確に 16 個のオクテットであることが必要です。

sha

(任意)HMAC-SHA-96 認証レベルを指定します。

username

エージェントに接続するホストのユーザ名を指定します。

v3

SNMP バージョン 3 セキュリティ モデルを使用するよう指定します。 encrypted、priv auth キーワードが使用できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

SNMP ユーザは、SNMP グループに属している必要があります。バージョン 3 セキュリティ モデルを使用するには、まず SNMP グループを設定してから、SNMP ユーザを設定した後、SNMP ホストを設定する必要があります。


) パスワードを忘れた場合、回復はできません。ユーザを再設定する必要があります。


SNMP サーバ ユーザ コンフィギュレーションがコンソール上に表示される場合やファイルに書き込まれる(スタートアップ コンフィギュレーション ファイルなど)場合はいつでも、プレイン テキストのパスワードの代わりに、ローカライズされた認証とプライバシー ダイジェストが表示されます。この使用方法は RFC 3414 の Section 11.2 で要求されています。


) ユーザを 3DES または AES アルゴリズムで設定する場合、3DES または AES 機能のライセンスを所有している必要があります。


適応型セキュリティ アプライアンスの起動やアップグレードでは、単一の数字のパスワードや、数字で始まりその後にスペースが続くパスワードをサポートしなくなりました。たとえば、0 pass や 1 は不正なパスワードです。

次の例では、SNMP バージョン 3 セキュリティ モデルを使用して SNMP 要求を受け付けるよう適応型セキュリティ アプライアンスを設定しています。

hostname(config)# snmp-server group engineering v3 auth
hostname(config)# snmp-server user engineering v3 auth sha mypassword
 

 
関連コマンド

コマンド
説明

clear configure snmp-server

SNMP サーバ コンフィギュレーションをクリアします。

snmp-server enable

適応型セキュリティ アプライアンスで SNMP をイネーブルにします。

snmp-server group

新規 SNMP グループを作成します。

snmp-server host

SNMP ホスト アドレスを設定します。

software-version

サーバまたはエンドポイントのソフトウェア バージョンを示す Server および User-Agent ヘッダー フィールドを識別するには、パラメータ コンフィギュレーション モードで software-version コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

software-version action {mask | log} [log}

no software-version action {mask | log} [log}

 
構文の説明

mask

SIP メッセージ内のソフトウェア バージョンをマスクします。

log

違反が発生した場合、スタンドアロンまたは追加のログを記録することを指定します。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例に、SIP インスペクション ポリシー マップ内のソフトウェア バージョンを識別する方法を示します。

hostname(config)# policy-map type inspect sip sip_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# software-version action log
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

speed

銅線(RJ-45)イーサネット インターフェイスの速度を設定するには、インターフェイス コンフィギュレーション モードで speed コマンドを使用します。速度設定をデフォルトに戻すには、このコマンドの no 形式を使用します。

speed { auto | 10 | 100 | 1000 | nonegotiate }

no speed [ auto | 10 | 100 | 1000 | nonegotiate ]

 
構文の説明

10

速度を 10BASE-T に設定します。

100

速度を 100BASE-T に設定します。

1000

速度を 1000BASE-T に設定します。銅線ギガビット イーサネット専用です。

auto

速度を自動検出します。

nonegotiate

ファイバ インターフェイスの場合、速度を 1000 Mbps に設定し、リンク パラメータのネゴシエートを行いません。ファイバ インターフェイスでは、このコマンド、およびこのコマンドの no 形式だけが利用可能な設定です。値を no speed nonegotiate (デフォルト)に設定すると、インターフェイスはリンク ネゴシエーションをイネーブルにし、フロー制御パラメータとリモート障害情報を交換します。

 
デフォルト

銅線インターフェイスでは、 speed auto がデフォルトです。

ファイバ インターフェイスでは、 no speed nonegotiate がデフォルトです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、 interface コマンドのキーワードからインターフェイス コンフィギュレーション モード コマンドに移されました。

 
使用上のガイドライン

物理インターフェイスだけに速度を設定します。

ネットワークが自動検出をサポートしていない場合、速度を特定の値に設定します。

ASA 5500 シリーズの適応型セキュリティ アプライアンスの RJ-45 インターフェイスでは、デフォルトのオートネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX をイネーブルにするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションがディセーブルにされ、Auto-MDI/MDIX もディセーブルになります。

PoE ポートで速度を auto 以外に設定した場合、可能なときには、IEEE 802.3af をサポートしない Cisco IP Phone およびシスコのワイヤレス アクセス ポイントは検出されず、電源供給を受けません。

次の例では、速度を 1000BASE-T に設定しています。

hostname(config)# interface gigabitethernet0/1
hostname(config-if)# speed 1000
hostname(config-if)# duplex full
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
 

 
関連コマンド

コマンド
説明

clear configure interface

インターフェイスのコンフィギュレーションをすべてクリアします。

duplex

デュプレックス モードを設定します。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

show interface

インターフェイスの実行時ステータスと統計情報を表示します。

show running-config interface

インターフェイス コンフィギュレーションを表示します。

split-dns

スプリット トンネリングで解決されるドメインのリストを入力するには、グループ ポリシー コンフィギュレーション モードで split-dns コマンドを使用します。リストを削除するには、このコマンドの no 形式を使用します。

スプリット トンネリング ドメイン リストをすべて削除するには、引数なしで no split-dns コマンドを使用します。これにより、 split-dns none コマンドの発行によって作成されたヌル リストを含め、設定されていたスプリット トンネリング ドメイン リストはすべて削除されます。

スプリット トンネリング ドメイン リストがない場合、ユーザはデフォルト グループ ポリシーに存在するものをすべて継承します。そのようなスプリット トンネリング ドメイン リストをユーザが継承しないようにするには、 split-dns none コマンドを使用します。

split-dns { value domain-name1 domain-name2 domain-nameN | none }

no split-dns [ domain-name domain-name2 domain-nameN ]

 
構文の説明

value domain-name

適応型セキュリティ アプライアンスがスプリット トンネリングによって解決するドメイン名を提供します。

none

スプリット DNS リストが存在しないことを示します。ヌル値を持つスプリット DNS リストを設定して、スプリット DNS リストを非許可にします。デフォルトまたは指定されたグループ ポリシーからスプリット DNS リストを継承しないようにします。

 
デフォルト

スプリット DNS メンテナンスはディセーブルにされます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

ドメインのリストの各エントリは、シングル スペースで区切ります。エントリの数に上限はありませんが、文字列全体は最大 255 文字までです。英数字、ハイフン(-)、ピリオド(.)だけが使用できます。

引数なしで no split-dns コマンドを使用すると、 split-dns none コマンドの発行で作成されたヌル値も含め、現在の値すべてが削除されます。

AnyConnect VPN クライアントと SSL VPN クライアントは、いずれもスプリット DNS をサポートしていません。

次の例に、 FirstGroup という名前のグループ ポリシーのためにドメイン Domain1、Domain2、Domain3、Domain4 をスプリット トンネリングを使用して解決するよう設定する方法を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# split-dns value Domain1 Domain2 Domain3 Domain4

 
関連コマンド

コマンド
説明

default-domain

ドメイン フィールドの除かれた DNS クエリーに IPSec クライアントが使用するデフォルト ドメイン名を指定します。

split-dns

スプリット トンネルを介して解決されるドメインのリストを提供します。

split-tunnel-network-list

トンネリングが必要なネットワークと不要なネットワークを区別するために、適応型セキュリティ アプライアンスが使用するアクセス リストを指定します。

split-tunnel-policy

IPSec クライアントが条件に応じてパケットを暗号化形式で IPSec トンネルを経由して転送したり、クリアテキスト形式でネットワーク インターフェイスに転送したりできるようにします。

split-horizon

EIGRP スプリット ホライズンを再度イネーブルにするには、インターフェイス コンフィギュレーション モードで split-horizon コマンドを使用します。EIGRP スプリット ホライズンをディセーブルにするには、このコマンドの no フォームを使用します。

split-horizon eigrp as-number

no split-horizon eigrp as-number

 
構文の説明

as-number

EIGRP ルーティング プロセスの自律システム番号です。

 
デフォルト

split-horizon コマンドがイネーブルにされます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

X.25 パケット交換ネットワークを介したリンクが含まれるネットワークに対しては、 neighbor コマンドを使用してスプリット ホライズン機能を無効にできます。代替方法として、コンフィギュレーションに no split-horizon eigrp コマンドを明示的に指定することもできます。ただし、この場合、ネットワーク上の関連するすべてのマルチキャスト グループに含まれる、すべてのルータとアクセス サーバに対して同様にスプリット ホライズンをディセーブルに設定する必要があります。

一般に、ご使用のアプリケーションが正しくルートをアドバタイズするために変更が必要なことが確実でない限り、スプリット ホライズンのデフォルト状態を変更しないことが最善です。スプリット ホライズンがディセーブルにされたシリアル インターフェイスがパケット交換ネットワークに接続されている場合、ネットワーク上の関連するすべてのマルチキャスト グループ内にあるルータとアクセス サーバすべてに対して、スプリット ホライズンをディセーブルにする必要があります。

次の例では、インターフェイス Ethernet0/0 上の EIGRP スプリット ホライズンをディセーブルにしています。

hostname(config)# interface Ethernet0/0
hostname(config-if)# no split-horizon eigrp 100
 

 
関連コマンド

コマンド
説明

router eigrp

EIGRP ルーティング プロセスを作成し、このプロセスのコンフィギュレーション モードを開始します。

split-tunnel-network-list

スプリット トンネリング用のネットワーク リストを作成するには、グループ ポリシー コンフィギュレーション モードで split-tunnel-network-list コマンドを使用します。ネットワーク リストを削除するには、このコマンドの no 形式を使用します。

スプリット トンネリング ネットワーク リストをすべて削除するには、引数なしで no split-tunnel-network-list コマンドを使用します。これにより、 split-tunnel-network-list none コマンドの発行によって作成されたヌル リストを含め、設定されていたネットワーク リストはすべて削除されます。

スプリット トンネリング ネットワーク リストがない場合、ユーザはデフォルトまたは指定されたグループ ポリシーに存在するネットワーク リストをすべて継承します。そのようなネットワーク リストをユーザが継承しないようにするには、 split-tunnel-network-list none コマンドを使用します。

スプリット トンネリング ネットワーク リストは、トラフィックがトンネルを通る必要があるネットワークと、トンネリングを必要としないネットワークとを区別します。

split-tunnel-network-list {value access-list name | none}

no split-tunnel-network-list value [ access-list name ]

 
構文の説明

value access-list name

トンネリングするネットワークとしないネットワークをまとめたアクセス リストを識別します。

none

スプリット トンネリング用のネットワーク リストがないことを示します。適応型セキュリティ アプライアンスはすべてのトラフィックをトンネリングします。

スプリット トンネリング ネットワーク リストをヌル値で設定して、スプリット トンネリングを不許可にします。デフォルトまたは指定されたグループ ポリシーからデフォルトのスプリット トンネリング ネットワーク リストを継承しないようにします。

 
デフォルト

デフォルトでは、スプリット トンネリング ネットワーク リストは存在しません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは、ネットワーク リストをベースにスプリット トンネリングの判断を行います。リストは、プライベート ネットワーク上のアドレスのリストで構成される標準 ACL です。

引数なしで no split-tunnel-network-list コマンドを使用すると、 split-tunnel-network-list none コマンドの発行によって作成されたヌル値を含め、現在のネットワーク リストすべてが削除されます。

次の例では、FirstList というネットワーク リストを FirstGroup というグループ ポリシーに設定する方法を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# split-tunnel-network-list FirstList

 
関連コマンド

コマンド
説明

access-list

アクセス リストを作成するか、ダウンロード可能なアクセス リストを使用します。

default-domain

ドメイン フィールドの除かれた DNS クエリーに IPSec クライアントが使用するデフォルト ドメイン名を指定します。

split-dns

スプリット トンネルを介して解決されるドメインのリストを提供します。

split-tunnel-policy

IPSec クライアントが条件に応じてパケットを暗号化形式で IPSec トンネルを経由して転送したり、クリアテキスト形式でネットワーク インターフェイスに転送したりできるようにします。

split-tunnel-policy

スプリット トンネリング ポリシーを設定するには、グループ ポリシー コンフィギュレーション モードで split-tunnel-policy コマンドを使用します。実行コンフィギュレーションから split-tunnel-policy アトリビュートを削除するには、このコマンドの no 形式を使用します。これにより、別のグループ ポリシーからスプリット トンネリング用の値を継承できるようになります。

スプリット トンネリングは、リモート アクセス IPSec クライアントが条件に応じてパケットを暗号化形式で IPSec トンネルを経由して転送したり、クリアテキスト形式でネットワーク インターフェイスに転送したりできるようにします。スプリット トンネリングがイネーブルになっていると、IPSec トンネルの逆の端を宛先としていないパケットの暗号化、トンネル経由の送信、復号化、最終宛先へのルーティングが必要なくなります。

この コマンドは、このスプリット トンネリング ポリシーを特定のネットワークに適用します。

split-tunnel-policy {tunnelall | tunnelspecified | excludespecified}

no split-tunnel-policy

 
構文の説明

excludespecified

トラフィックをクリアに転送するネットワークのリストを定義します。この機能は、トンネル経由で会社のネットワークに接続しているリモート ユーザが、自分のローカル ネットワーク上にあるプリンタなどのデバイスにアクセスする場合に役立ちます。このオプションは、Cisco VPN クライアントだけに適用されます。

split-tunnel-policy

トンネリング トラフィックのルールの設定中であることを示します。

tunnelall

クリアで転送されるトラフィックや、適応型セキュリティ アプライアンス以外を宛先とするトラフィックがないことを指定します。リモート ユーザは会社のネットワーク経由でインターネット ネットワークにアクセスし、ローカル ネットワークにはアクセスできません。

tunnelspecified

指定されたネットワークからの、または指定されたネットワークへのトラフィックすべてをトンネリングします。このオプションで、スプリット トンネリングがイネーブルになります。トンネリングするアドレスのネットワーク リストを作成できます。他のアドレスへのデータはすべてクリアで転送され、リモート ユーザのインターネット サービス プロバイダーによってルーティングされます。

 
デフォルト

スプリット トンネリングは、デフォルトの tunnelall ではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

スプリット トンネリングは主にトラフィック管理機能であって、セキュリティ機能ではありません。実際、最適なセキュリティのためには、スプリット トンネリングをイネーブルとしないことを推奨します。

次の例では、FirstGroup というグループ ポリシーに、指定されたネットワークだけをトンネリングするスプリット トンネリング ポリシーを設定する方法を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# split-tunnel-policy tunnelspecified

 
関連コマンド

コマンド
説明

default-domain

ドメイン フィールドの除かれた DNS クエリーに IPSec クライアントが使用するデフォルト ドメイン名を指定します。

split-dns

スプリット トンネルを介して解決されるドメインのリストを提供します。

split-tunnel-network-list none

スプリット トンネリング用のアクセス リストが存在しないことを示します。トラフィックはすべてトンネルを経由します。

split-tunnel-network-list value

トンネリングが必要なネットワークと不要なネットワークを区別するために、適応型セキュリティ アプライアンスが使用するアクセス リストを指定します。

spoof-server

HTTP プロトコル インスペクションのためサーバ ヘッダー フィールドの代わりに使用する文字列を指定するには、パラメータ コンフィギュレーション モードで spoof-server コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

spoof-server string

no spoof-server string

 
構文の説明

string

サーバ ヘッダー フィールドの代わりに使用する文字列。最大 82 文字までです。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

WebVPN ストリームは spoof-server コマンドの対象になりません。

次の例では、HTTP インスペクション ポリシー マップ内のサーバ ヘッダー フィールドの文字列を代替する方法を示します。

hostname(config-pmap-p)# spoof-server string
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

sq-period

NAC フレームワーク セッション中の成功したポスチャ確認それぞれと、ホスト ポスチャ中の変更に対する次のクエリーとの間隔を指定するには、nac ポリシー nac フレームワーク コンフィギュレーション モードで sq-period コマンドを使用します。NAC ポリシーからコマンドを削除するには、このコマンドの no 形式を使用します。

sq-period seconds

no sq-period [ seconds ]

 
構文の説明

seconds

正常に完了した各ポスチャ確認の間隔の秒数。指定できる範囲は 30 ~ 1800 です。

 
デフォルト

デフォルト値は 300 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

nac ポリシー nac フレームワーク コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.3(0)

コマンド名から「nac-」が削除されました。コマンドが、グループ ポリシー コンフィギュレーション モードから nac ポリシー nac フレームワーク コンフィギュレーション モードに移動されました。

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは、ポスチャ確認の成功と状態クエリーの応答の後に、状態クエリー タイマーを毎回スタートさせます。このタイマーが切れると、ホスト ポスチャ中の変更に対するクエリーがトリガーされ、これは status query と呼ばれます。

次の例では、ステータス クエリー タイマーの値を 1800 秒に変更しています。

hostname(config-nac-policy-nac-framework)# sq-period 1800
hostname(config-nac-policy-nac-framework)
 

次の例では、ステータス クエリー タイマーを NAC フレームワーク ポリシーから削除しています。

hostname(config-nac-policy-nac-framework)# no sq-period
hostname(config-nac-policy-nac-framework)
 

 
関連コマンド

コマンド
説明

nac-policy

Cisco NAC ポリシーを作成してアクセスし、そのタイプを指定します。

nac-settings

NAC ポリシーをグループ ポリシーに割り当てます。

eou timeout

NAC フレームワーク コンフィギュレーションで EAP over UDP メッセージをリモート ホストに送信した後に待機する秒数を変更します。

reval-period

NAC フレームワーク セッションでの成功したポスチャ確認の間隔を指定します。

debug eap

NAC フレームワーク メッセージのデバッグのための拡張認証プロトコル イベントのロギングをイネーブルにします。

ssh

適応型セキュリティ アプライアンスに SSH アクセスを追加するには、グローバル コンフィギュレーション モードで ssh コマンドを使用します。適応型セキュリティ アプライアンスへの SSH アクセスをディセーブルにするには、このコマンドの no 形式を使用します。このコマンドは IPv4 および IPv6 のアドレスをサポートします。

ssh { ip_address mask | ipv6_address / prefix } interface

no ssh { ip_address mask | ipv6_address / prefix } interface

 
構文の説明

interface

SSH がイネーブルにされる適応型セキュリティ アプライアンス インターフェイスです。指定されない場合、外部インターフェイスを除くすべてのインターフェイス上で SSH がイネーブルになります。

ip_address

適応型セキュリティ アプライアンスへの SSH 接続の開始が許可されたホストまたはネットワークの IPv4 アドレス。ホストの場合、ホスト名を入力することもできます。

ipv6_address / prefix

適応型セキュリティ アプライアンスへの SSH 接続の開始が許可されたホストまたはネットワークの IPv6 アドレスとプレフィクス。

mask

ip_address のネットワーク マスク。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

ssh ip_address コマンドは、適応型セキュリティ アプライアンスへの SSH 接続の開始が許可されたホストまたはネットワーク を指定します。コンフィギュレーション内に複数の ssh コマンドを持つことが可能です。特定の SSH コマンドをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。SSH コマンドをすべて削除するには、 clear configure ssh コマンドを使用します。

適応型セキュリティ アプライアンスへの SSH の使用を開始する前に、 crypto key generate rsa コマンドを使用してデフォルトの RSA キーを生成しておく必要があります。

適応型セキュリティ アプライアンスでは、次のセキュリティ アルゴリズムと暗号がサポートされています。

データ暗号化用の 3DES および AES 暗号。

パケット整合性用の HMAC-SHA および HMAC-MD5 アルゴリズム。

ホスト認証用の RSA 公開キー アルゴリズム。

キー交換用のデフィーヘルマン グループ 1 アルゴリズム。

SSH バージョン 2 の次の機能は、適応型セキュリティ アプライアンスでサポートされていません。

X11 転送。

ポート フォワーディング。

SFTP サポート。

Kerberos および AFS チケットの受け渡し。

データ圧縮。

次の例に、IP アドレスが 10.1.1.1 の管理コンソールからの SSH バージョン 2 接続を受け入れるよう内部インターフェイスを設定する方法を示します。アイドル セッションのタイムアウトは 60 秒に設定され、SCP がイネーブルにされています。

hostname(config)# ssh 10.1.1.1 255.255.255.0 inside
hostname(config)# ssh version 2
hostname(config)# ssh copy enable
hostname(config)# ssh timeout 60
 

 
関連コマンド

コマンド
説明

clear configure ssh

実行コンフィギュレーションからすべての SSH コマンドをクリアします。

crypto key generate rsa

ID 証明書用の RSA キーペアを生成します。

debug ssh

SSH コマンドのデバッグ情報とエラー メッセージを表示します。

show running-config ssh

実行コンフィギュレーションの現在の SSH コマンドを表示します。

ssh scopy enable

適応型セキュリティ アプライアンスでセキュア コピー サーバをイネーブルにします。

ssh version

SSH バージョン 1 と SSH バージョン 2 のいずれかを使用するよう、適応型セキュリティ アプライアンスを制限します。

ssh disconnect

アクティブな SSH セッションを切断するには、特権 EXEC モードで ssh disconnect コマンドを使用します。

ssh disconnect session_id

 
構文の説明

session_id

ID 番号で指定された SSH セッションを切断します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

セッション ID を指定する必要があります。切断する SSH セッションの ID を取得するには、 show ssh sessions コマンドを使用します。

次の例は、SSH セッションの切断を示しています。

hostname# show ssh sessions
SID Client IP Version Mode Encryption Hmac State Username
0 172.69.39.39 1.99 IN aes128-cbc md5 SessionStarted pat
OUT aes128-cbc md5 SessionStarted pat
1 172.23.56.236 1.5 - 3DES - SessionStarted pat
2 172.69.39.29 1.99 IN 3des-cbc sha1 SessionStarted pat
OUT 3des-cbc sha1 SessionStarted pat
hostname# ssh disconnect 2
hostname# show ssh sessions
SID Client IP Version Mode Encryption Hmac State Username
0 172.69.39.29 1.99 IN aes128-cbc md5 SessionStarted pat
OUT aes128-cbc md5 SessionStarted pat
1 172.23.56.236 1.5 - 3DES - SessionStarted pat
 

 
関連コマンド

コマンド
説明

show ssh sessions

適応型セキュリティ アプライアンスとのアクティブ SSH セッションに関する情報を表示します。

ssh timeout

アイドル状態の SSH セッションのタイムアウト値を設定します。

ssh scopy enable

適応型セキュリティ アプライアンスで Secure Copy(SCP; セキュア コピー)をイネーブルにするには、グローバル コンフィギュレーション モードで ssh scopy enable コマンドを使用します。SCP をディセーブルにするには、このコマンドの no 形式を使用します。

ssh scopy enable

no ssh scopy enable

 
構文の説明

このコマンドには、キーワードや引数はありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

SCP はサーバのみの実装です。SCP の接続の受け入れと終了は行えますが、開始は行えません。適応型セキュリティ アプライアンスには、次の制約事項があります。

SCP のこの実装には、リモート クライアントのアクセスを適応型セキュリティ アプライアンスの内部ファイルに限定するディレクトリ サポートはありません。

SCP を使用している場合、バナー サポートはありません。

SCP はワイルドカードをサポートしません。

SSH バージョン 2 接続をサポートするためには、適応型セキュリティ アプライアンス ライセンスに VPN-3DES-AES 機能が含まれている必要があります。

ファイル転送を開始する前に、適応型セキュリティ アプライアンスは使用可能なフラッシュ メモリをチェックします。利用できる容量が足りない場合、適応型セキュリティ アプライアンスは SCP 接続を終了させます。フラッシュ メモリ内のファイルを上書きする場合でも、適応型セキュリティ アプライアンスにコピーするファイルには十分な空き容量が必要です。SCP プロセスでは、ファイルをまず一時ファイルにコピーしてから、一時ファイルを置き換えるファイルに上書きコピーします。コピーされるファイルと上書きされるファイルとを保持するだけの容量がフラッシュにない場合、適応型セキュリティ アプライアンスは SCP 接続を終了させます。

次の例に、IP アドレスが 10.1.1.1 の管理コンソールからの SSH バージョン 2 接続を受け入れるよう内部インターフェイスを設定する方法を示します。アイドル セッションのタイムアウトは 60 秒に設定され、SCP がイネーブルにされています。

hostname(config)# ssh 10.1.1.1 255.255.255.0 inside
hostname(config)# ssh version 2
hostname(config)# ssh copy enable
hostname(config)# ssh timeout 60
 

 
関連コマンド

コマンド
説明

clear configure ssh

実行コンフィギュレーションからすべての SSH コマンドをクリアします。

debug ssh

SSH コマンドのデバッグ情報とエラー メッセージを表示します。

show running-config ssh

実行コンフィギュレーションの現在の SSH コマンドを表示します。

ssh

指定したクライアントまたはネットワークから適応型セキュリティ アプライアンスへの SSH 接続を許可します。

ssh version

SSH バージョン 1 と SSH バージョン 2 のいずれかを使用するよう、適応型セキュリティ アプライアンスを制限します。

ssh timeout

デフォルトの SSH セッション アイドル タイムアウト値を変更するには、グローバル コンフィギュレーション モードで ssh timeout コマンドを使用します。デフォルトのタイムアウト値に戻すには、このコマンドの no 形式を使用します。

ssh timeout number

no ssh timeout

 
構文の説明

number

非アクティブな SSH セッションを切断せずに維持可能な長さを分単位で指定します。有効な値は、1 ~ 60 分です。

 
デフォルト

デフォルトのセッション タイムアウト値は 5 分です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

ssh timeout コマンドは、セッションが切断される前にアイドル状態を維持できる時間を指定します。デフォルト時間は 5 分です。

次の例に、IP アドレスが 10.1.1.1 の管理コンソールからの SSH バージョン 2 接続だけを受け入れるよう内部インターフェイスを設定する方法を示します。アイドル セッションのタイムアウトは 60 秒に設定され、SCP がイネーブルにされています。

hostname(config)# ssh 10.1.1.1 255.255.255.0 inside
hostname(config)# ssh version 2
hostname(config)# ssh copy enable
hostname(config)# ssh timeout 60
 

 
関連コマンド

コマンド
説明

clear configure ssh

実行コンフィギュレーションからすべての SSH コマンドをクリアします。

show running-config ssh

実行コンフィギュレーションの現在の SSH コマンドを表示します。

show ssh sessions

適応型セキュリティ アプライアンスとのアクティブ SSH セッションに関する情報を表示します。

ssh disconnect

アクティブな SSH セッションを切断します。

ssh version

適応型セキュリティ アプライアンスが受け入れる SSH のバージョンを制限するには、グローバル コンフィギュレーション モードで ssh version コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。デフォルト値では、適応型セキュリティ アプライアンスへの SSH バージョン 1 および SSH バージョン 2 接続が許可されています。

ssh version { 1 | 2 }

no ssh version [ 1 | 2 ]

 
構文の説明

1

SSH バージョン 1 接続だけをサポートするよう指定します。

2

SSH バージョン 2 接続だけをサポートするよう指定します。

 
デフォルト

デフォルトでは、SSH バージョン 1 と SSH バージョン 2 の両方がサポートされています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

どの SSH バージョンを 適応型セキュリティ アプライアンスで使用するかを 1 と 2 で指定します。コマンドの no 形式を使用すると、適応型セキュリティ アプライアンスはデフォルト状態である互換モード(両方のバージョンを使用できる)に戻ります。

次の例に、IP アドレスが 10.1.1.1 の管理コンソールからの SSH バージョン 2 接続を受け入れるよう内部インターフェイスを設定する方法を示します。アイドル セッションのタイムアウトは 60 秒に設定され、SCP がイネーブルにされています。

hostname(config)# ssh 10.1.1.1 255.255.255.0 inside
hostname(config)# ssh version 2
hostname(config)# ssh copy enable
hostname(config)# ssh timeout 60
 

 
関連コマンド

コマンド
説明

clear configure ssh

実行コンフィギュレーションからすべての SSH コマンドをクリアします。

debug ssh

SSH コマンドのデバッグ情報とエラー メッセージを表示します。

show running-config ssh

実行コンフィギュレーションの現在の SSH コマンドを表示します。

ssh

指定したクライアントまたはネットワークから適応型セキュリティ アプライアンスへの SSH 接続を許可します。

ssl certificate-authentication

バージョン 8.2(1) よりも前のバージョンとの後方互換性のためにクライアント証明書認証をイネーブルにするには、グローバル コンフィギュレーション モードで ssl certificate-authentication コマンドを使用します。SSL 証明書認証をディセーブルにするには、このコマンドの no バージョンを使用します。

ssl certificate-authentication interface interface-name port port-number

no ssl certificate-authentication interface interface-name port port-numbe r

 
構文の説明

interface-name

選択されたインターフェイスの名前です。inside、management、outside などです。

port-number

TCP ポート番号です。1 ~ 65535 の整数です。

 
デフォルト

この機能はデフォルトでディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

8.0(3)

このコマンドが追加されました。

8.2(1)

このコマンドは必要なくなりましたが、以前のバージョンへのダウングレード用に適応型セキュリティ アプライアンスに残されています。

 
使用上のガイドライン

このコマンドは、廃止された http authentication-certificate コマンドに代わるものです。

次の例に、SSL 証明書認証機能を使用するよう適応型セキュリティ アプライアンスを設定する方法を示します。

hostname(config)# ssl certificate-authentication interface inside port 330

 
関連コマンド

コマンド
説明

show running-config ssl

現在設定されている一連の SSL コマンドを表示します。

ssl client-version

適応型セキュリティ アプライアンスがクライアントとして動作する場合の SSL/TLS プロトコルのバージョンを指定するには、グローバル コンフィギュレーション モードで ssl client-version コマンドを使用します。デフォルトの any に戻すには、このコマンドの no バージョンを使用します。このコマンドで、適応型セキュリティ アプライアンスが送信する SSL/TLS のバージョンを制限できます。

ssl client-version [ any | sslv3-only | tlsv1-only ]

no ssl client-version

 
構文の説明

any

適応型セキュリティ アプライアンスは SSL バージョン 3 の hello を送信し、SSL バージョン 3 または TLS バージョン 1 のいずれかでネゴシエートします。

sslv3-only

セキュリティ アプライアンスは SSL バージョン 3 の hello を送信し、SSL バージョン 3 だけを受け入れます。

tlsv1-only

セキュリティ アプライアンスは TLSv1 クライアントの hello を送信し、TLS バージョン 1 だけを受け入れます。

 
デフォルト

デフォルト値は any です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

TCP ポート フォワーディングは、WebVPN ユーザが次の SSL バージョンで接続している場合、動作しません。
問題となるのは、ポート フォワーディング アプリケーションを起動したときに、JAVA がクライアント Hello パケット内では SSLv3 だけでネゴシエートすることです。

SSLv3 でネゴシエート

Java がダウンロードされる

SSLv3/TLSv1 でネゴシエート

Java がダウンロードされる

TLSv1 でネゴシエート

Java がダウンロードされない

TLSv1 だけ

Java がダウンロードされない

SSLv3 だけ

Java がダウンロードされない

次の例に、SSL クライアントとして動作しているときに TLSv1 だけを使用して通信するよう適応型セキュリティ アプライアンスを設定する方法を示します。

hostname(config)# ssl client-version tlsv1-only

 
関連コマンド

コマンド
説明

clear config ssl

コンフィギュレーションからすべての SSL コマンドを削除し、デフォルト値に戻します。

ssl encryption

SSL/TLS プロトコルが使用する暗号化アルゴリズムを指定します。

show running-config ssl

現在設定されている一連の SSL コマンドを表示します。

ssl server-version

サーバとして動作するときに適応型セキュリティ アプライアンスが使用する SSL/TLS プロトコルのバージョンを指定します。

ssl trust-point

インターフェイスの SSL 証明書を表す証明書トラストポイントを指定します。

ssl encryption

SSL/TLS プロトコルが使用する暗号化アルゴリズムを指定するには、グローバル コンフィギュレーション モードで ssl encryption コマンドを使用します。コマンドを再発行すると、それまでの設定は上書きされます。アルゴリズムの順番によって、使用優先順位が決定されます。使用環境に合わせて、アルゴリズムの追加と削除を行えます。デフォルト(全暗号化アルゴリズムのセット)に戻すには、このコマンドの no バージョンを使用します。

ssl encryption [ 3des-sha1 ] [ des-sha1 ] [ rc4-md5 ] [ aes128-sha1 ] [ aes256-sha1 ] [ possibly others ]

no ssl encryption

 
構文の説明

3des-sha1

Secure Hash Algorithm 1 を使用する triple DES 暗号化を指定します。

des-sha1

Secure Hash Algorithm 1 を使用する DES 暗号化を指定します。

rc4-md5

MD5 ハッシュ機能を使用する RC4 暗号化を指定します。

aes128-sha1

Secure Hash Algorithm 1 を使用する AES 128 ビット暗号化を指定します。

aes256-sha1

Secure Hash Algorithm 1 を使用する AES 256 ビット暗号化を指定します。

possibly others

今後さらに暗号化アルゴリズムが追加される可能性があることを示します。

 
デフォルト

デフォルトでは、すべてのアルゴリズムが使用可能になっており、次の順序になっています。

[ ssl encryption ] [ rc4-sha1 ] [ aes128-sha1 ] [ aes256-sha1 ] [ 3des-sha1 ]

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

[ASDM License] タブに表示されるのは、設定された値ではなく、ライセンスがサポートする最大の暗号化です。

次の例に、3des-sha1 と des-sha1 暗号化アルゴリズムを使用するよう適応型セキュリティ アプライアンスを設定する方法を示します。

hostname(config)# ssl encryption 3des-sha1 des-sha1

 
関連コマンド

コマンド
説明

clear config ssl

コンフィギュレーションからすべての SSL コマンドを削除し、デフォルト値に戻します。

show running-config ssl

現在設定されている一連の SSL コマンドを表示します。

ssl client-version

適応型セキュリティ アプライアンスがクライアントとして動作する場合に使用する SSL プロトコルおよび TLS プロトコルのバージョンを指定します。

ssl server-version

サーバとして動作するときに適応型セキュリティ アプライアンスが使用する SSL/TLS プロトコルのバージョンを指定します。

ssl trust-point

インターフェイスの SSL 証明書を表す証明書トラストポイントを指定します。

ssl server-version

サーバとして動作するときに適応型セキュリティ アプライアンスが使用する SSL/TLS プロトコルのバージョンを指定するには、グローバル コンフィギュレーション モードで ssl server-version コマンドを使用します。デフォルトの any に戻すには、このコマンドの no バージョンを使用します。このコマンドで、適応型セキュリティ アプライアンスが受け入れる SSL/TLS のバージョンを制限できます。

ssl server-version [ any | sslv3 | tlsv1 | sslv3-only | tlsv1-only ]

no ssl server-version

 
構文の説明

any

適応型セキュリティ アプライアンスは SSL バージョン 2 クライアントの hello を受け入れ、SSL バージョン 3 または TLS バージョン 1 のいずれかでネゴシエートします。

sslv3

適応型セキュリティ アプライアンスは SSL バージョン 2 クライアントの hello を受け入れ、SSL バージョン 3 でネゴシエートします。

sslv3-only

セキュリティ アプライアンスは SSL バージョン 3 クライアントの hello だけを受け入れ、SSL バージョン 3 だけを使用します。

tlsv1

適応型セキュリティ アプライアンスは SSL バージョン 2 クライアントの hello を受け入れ、TLS バージョン 1 でネゴシエートします。

tlsv1-only

セキュリティ アプライアンスは TLSv1 クライアントの hello だけを受け入れ、TLS バージョン 1 だけを使用します。

 
デフォルト

デフォルト値は any です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

TCP ポート フォワーディングは、WebVPN ユーザが次の SSL バージョンで接続している場合、動作しません。

SSLv3 でネゴシエート

Java がダウンロードされる

SSLv3/TLSv1 でネゴシエート

Java がダウンロードされる

TLSv1 でネゴシエート

Java がダウンロードされない

TLSv1 だけ

Java がダウンロードされない

SSLv3 だけ

Java がダウンロードされない

電子メール プロキシを設定する場合、SSL バージョンを TLSv1 だけに設定しないでください。Outlook と Outlook Express は TLS をサポートしていません。

次の例に、SSL サーバとして動作しているときに TLSv1 だけを使用して通信するよう適応型セキュリティ アプライアンスを設定する方法を示します。

hostname(config)# ssl server-version tlsv1-only
 

 
関連コマンド

コマンド
説明

clear config ssl

コンフィギュレーションからすべての SSL コマンドを削除し、デフォルト値に戻します。

show running-config ssl

現在設定されている一連の SSL コマンドを表示します。

ssl client-version

適応型セキュリティ アプライアンスがクライアントとして動作する場合に使用する SSL プロトコルおよび TLS プロトコルのバージョンを指定します。

ssl encryption

SSL/TLS プロトコルが使用する暗号化アルゴリズムを指定します。

ssl trust-point

インターフェイスの SSL 証明書を表す証明書トラストポイントを指定します。

ssl trust-point

インターフェイスの SSL 証明書を表す証明書トラストポイントを指定するには、グローバル コンフィギュレーション モードで ssl trust-point コマンドを interface 引数を指定して使用します。インターフェイスを指定しない場合、このコマンドはトラストポイントが設定されていないインターフェイスすべてにフォールバック トラストポイントを作成します。インターフェイスを指定しないコンフィギュレーションから SSL トラストポイントを削除するには、このコマンドの no バージョンを使用します。インターフェイスを指定したエントリを削除するには、このコマンドの no ssl trust-point { trustpoint [interface] } バージョンを使用します。

ssl trust-point { trustpoint [interface] }

no ssl trust-point

 
構文の説明

interface

トラストポイントを適用するインターフェイスの名前。 nameif コマンドはインターフェイスの名前を指定します。

trustpoint

CA トラストポイントの name で、 crypto ca trustpoint { name } コマンドで設定されたもの。

 
デフォルト

デフォルトでは、トラストポイントの関連づけはありません。適応型セキュリティ アプライアンスは、デフォルトの自己生成 RSA キーペア証明書を使用します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用するときは、次の注意事項に従ってください。

trustpoint の値は、必ず crypto ca trustpoint {name } コマンドで設定された CA トラストポイントの名前である必要があります。

interface の値は、設定済みインターフェイスの nameif 名であることが必要です。

トランスポイントの削除では、そのトラストポイントを参照する ssl trust-point エントリもすべて削除されます。

ssl trustpoint エントリは、各インターフェイスに 1 つずつと、インターフェイスなしを指定する 1 つを設定できます。

同一のトラストポイントを複数エントリで使用できます。

次の例に、このコマンドの no バージョンの使用例を示します。

コンフィギュレーションには次の SSL トラストポイントが含まれています。

ssl trust-point tp1

ssl trust-point tp2 outside

コマンド発行:

no ssl trust-point

show run ssl の結果:

ssl trust-point tp2 outside

次の例に、内部インターフェイスに FirstTrust という SSL トラストポイントを設定し、関連付けのないインターフェイスに DefaultTrust というトラストポイントを設定する方法を示します。

hostname(config)# ssl trust-point FirstTrust inside
hostname(config)# ssl trust-point DefaultTrust

 

次の例に、コマンドの no バージョンを使用して、関連付けられたインターフェイスを持たないトラストポイントを削除する方法を示します。

hostname(config)# show running-configuration ssl
ssl trust-point FirstTrust inside
ssl trust-point DefaultTrust
hostname(config)# no ssl trust-point
hostname(config)# show running-configuration ssl
ssl trust-point FirstTrust inside
 

次の例に、関連付けられたインターフェイスを持つトラストポイントを削除する方法を示します。

hostname(config)# show running-configuration ssl
ssl trust-point FirstTrust inside
ssl trust-point DefaultTrust
hostname(config)# no ssl trust-point FirstTrust inside
hostname(config)# show running-configuration ssl
ssl trust-point DefaultTrust
 

 
関連コマンド

コマンド
説明

clear config ssl

コンフィギュレーションからすべての SSL コマンドを削除し、デフォルト値に戻します。

show running-config ssl

現在設定されている一連の SSL コマンドを表示します。

ssl client-version

適応型セキュリティ アプライアンスがクライアントとして動作する場合に使用する SSL プロトコルおよび TLS プロトコルのバージョンを指定します。

ssl encryption

SSL/TLS プロトコルが使用する暗号化アルゴリズムを指定します。

ssl server-version

サーバとして動作するときに適応型セキュリティ アプライアンスが使用する SSL/TLS プロトコルのバージョンを指定します。

sso-server

適応型セキュリティ アプライアンスのユーザ認証のために Single Sign-On(SSO; シングル サインオン)サーバを作成する場合、webvpn コンフィギュレーション モードで sso-server コマンドを使用します。このコマンドとともに、SSO サーバのタイプを指定する必要があります。

SSO サーバを削除するには、このコマンドの no 形式を使用します。

sso-server name type [siteminder | saml-v1.1-post ]

no sso-server name


) このコマンドは、SSO 認証に必要です。


 
構文の説明

 
構文の説明構文の説明

name

SSO サーバの名前を指定します。最小 4 文字、最大 31 文字です。

saml-v1.1-post

設定中の適応型セキュリティ アプライアンス SSO サーバを、SAML、バージョン 1.1、POST タイプの SSO サーバと指定します。

siteminder

設定中の適応型セキュリティ アプライアンス SSO サーバを、Computer Associates SiteMinder SSO サーバと指定します。

type

SSO サーバのタイプを指定します。使用可能なタイプは SiteMinder と SAML-V1.1-POST だけです。

 
デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。 sso-server コマンドを使用して、SSO サーバを作成できます。

認証では、適応型セキュリティ アプライアンスは SSO サーバへの WebVPN ユーザのプロキシとして動作します。適応型セキュリティ アプライアンスは現在、SiteMinder SSO サーバ(以前の Netegrity SiteMinder)と SAML POST タイプの SSO サーバをサポートしています。現在、type オプションで利用できる引数は siteminder saml-V1.1-post に限定されています。

次の例では、webvpn コンフィギュレーション モードに入り、「example1」という名前の SiteMinder タイプの SSO サーバを作成しています。

hostname(config)# webvpn
hostname(config-webvpn)# sso-server example1 type siteminder
hostname(config-webvpn-sso-siteminder)#
 

次の例では、webvpn コンフィギュレーション モードに入り、「example2」という名前の SAML、バージョン 1.1、POST タイプ SSO サーバを作成しています。

hostname(config)# webvpn
hostname(config-webvpn)# sso-server example2 type saml-v1.1-post
hostname(config-webvpn-sso-saml)#
 

 
関連コマンド

コマンド
説明

assertion-consumer-url

SAML タイプ SSO アサーション コンシューマ サービスを指定します。

issuer

SAML タイプ SSO サーバのセキュリティ デバイス名を指定します。

max-retry-attempts

適応型セキュリティ アプライアンスが、失敗した SSO 認証を再試行する回数を設定します。

policy-server-secret

SiteMinder SSO サーバへの認証要求の暗号化に使用する秘密キーを作成します。

request-timeout

SSO 認証の試行に失敗したときにタイムアウトになるまでの秒数を指定します。

show webvpn sso-server

SSO サーバの動作統計を表示します。

test sso-server

テスト認証要求で SSO サーバをテストします。

trustpoint

SAML タイプ ブラウザ アサーションの署名に使用する証明書を含むトラストポイントの名前を指定します。

web-agent-url

適応型セキュリティ アプライアンスが SiteMinder SSO 認証を要求する SSO サーバの URL を指定します。

sso-server value(グループ ポリシー webvpn)

SSO サーバをグループ ポリシーに割り当てる場合、グループ ポリシー コンフィギュレーション モードで利用できる webvpn コンフィギュレーション モードで sso-server value コマンドを使用します。

割り当てを削除してデフォルト ポリシーを使用するには、このコマンドの no 形式を使用します。

デフォルト ポリシーを継承しないようにするには、 sso-server none コマンドを使用します。

sso-server {value name | none}

[no] sso-server value name

 
構文の説明

name

グループ ポリシーに割り当てられている SSO サーバの名前を指定します。

 
デフォルト

デフォルト ポリシーは DfltGrpPolicy グループに割り当てられています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

sso-server value コマンドをグループ ポリシー webvpn モードで使用すると、SSO サーバをグループ ポリシーに割り当てられます。

シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。適応型セキュリティ アプライアンスが現在サポートしているのは、SSO サーバの SiteMinder タイプと SAML POST タイプの SSO サーバです。

このコマンドは SSO サーバの両タイプに適用されます。


) 同じコマンド、sso-server value をユーザ名 webvpn コンフィギュレーション モードで入力すると、SSO サーバはユーザ ポリシーに割り当てられます。


次の例のコマンドは、グループ ポリシー my-sso-grp-pol を作成し、example という名前の SSO サーバに割り当てます。

hostname(config)# group-policy my-sso-grp-pol internal
hostname(config)# group-policy my-sso-grp-pol attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# sso-server value example
hostname(config-group-webvpn)#
 

 
関連コマンド

 
関連コマンドhostname

コマンド
説明

policy-server-secre t

SiteMinder SSO サーバへの認証要求の暗号化に使用する秘密キーを作成します。

show webvpn sso-server

セキュリティ デバイスに設定されているすべての SSO サーバの運用統計情報を表示します。

sso-server

シングル サインオン サーバを作成します。

sso-server value(ユーザ名 webvpn)

SSO サーバをユーザ ポリシーに割り当てます。

web-agent-url

適応型セキュリティ アプライアンスが SiteMinder タイプ SSO 認証要求を作成する SSO サーバを指定します。

sso-server value(ユーザ名 webvpn)

SSO サーバをユーザ ポリシーに割り当てる場合、ユーザ名コンフィギュレーション モードで利用できる webvpn コンフィギュレーション モードで sso-server value コマンドを使用します。

ユーザに割り当てられた SSO サーバを削除するには、このコマンドの no 形式を使用します。

ユーザ ポリシーがグループ ポリシーから不要な SSO サーバ割り当てを継承してしまう場合、 sso-server none コマンドで割り当てを削除します。

sso-server {value name | none}

[no] sso-server value name

 
構文の説明

name

ユーザ ポリシーに割り当てられる SSO サーバの名前を指定します。

 
デフォルト

デフォルトでは、ユーザ ポリシーに対してグループ ポリシーの SSO サーバ割り当てを使用します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ユーザ名 webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、別のサーバでさまざまなセキュアなサービスにアクセスできます。適応型セキュリティ アプライアンスが現在サポートしているのは、SSO サーバの SiteMinder タイプと SAML POST タイプの SSO サーバです。

このコマンドは SSO サーバの両タイプに適用されます。

sso-server value コマンドを使用して、SSO サーバをユーザ ポリシーに割り当てられます。


) 同じコマンド、sso-server value をグループ webvpn コンフィギュレーション モードで入力すると、SSO サーバはグループ ポリシーに割り当てられます。


次の例のコマンドは、my-sso-server という名前の SSO サーバを、Anyuser という WebVPN ユーザのユーザ ポリシーに割り当てます。

hostname(config)# username Anyuser attributes
hostname(config-username)# webvpn
hostname(config-username-webvpn)# sso-server value my-sso-server
hostname(config-username-webvpn)#
 

 
関連コマンド

コマンド
説明

policy-server-secret

SiteMinder SSO サーバへの認証要求の暗号化に使用する秘密キーを作成します。

show webvpn sso-server

セキュリティ デバイスに設定されているすべての SSO サーバの運用統計情報を表示します。

sso-server

シングル サインオン サーバを作成します。

sso-server value(config-group-webvpn)

SSO サーバをグループ ポリシーに割り当てます。

web-agent-url

適応型セキュリティ アプライアンスが SiteMinder SSO 認証を要求する SSO サーバの URL を指定します。

start-url

オプションのプリログイン クッキーを取得する URL を入力するには、aaa-server-host コンフィギュレーション モードで start-url コマンドを使用します。これは HTTP フォームのコマンドを使用した SSO です。

start-url string


) HTTP プロトコルを使用して SSO を正しく設定するには、認証と HTTP プロトコル交換についての詳しい実務知識が必要です。


 
構文の説明

 
構文の説明構文の説明

string

SSO サーバの URL。URL の長さは最大で 1024 文字です。

 
デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスの WebVPN サーバは、認証実行 Web サーバにシングル サインオン認証要求を送信するために、HTTP POST 要求を使用できます。認証実行 Web サーバは、ログイン ページの内容とともに Set-Cookie ヘッダーを送信することで、プリログイン シーケンスを実行することがあります。これは、認証実行 Web サーバのログイン ページにブラウザで直接接続することで判定できます。Web サーバがログイン ページのロード時にクッキーを設定しており、そのクッキーが続くログイン セッションにも関係する場合、 start-url コマンドを使用してクッキーが取得された URL を入力する必要があります。実際のログイン シーケンスは、プリログイン クッキー シーケンス後、認証実行 Web サーバへのフォーム送信でスタートします。


start-url コマンドが必要なのは、プリログイン クッキー交換が存在する場合だけです。


次の例では、AAA サーバ ホスト コンフィギュレーション モードに入り、https://example.com/east/Area.do?Page-Grp1 のプリログイン クッキーの取得 URL を指定しています。

hostname(config)# aaa-server testgrp1 (inside) host example.com
hostname(config-aaa-server-host)# start-url https://example.com/east/Area.do?Page=Grp1
hostname(config-aaa-server-host)#

 
関連コマンド

コマンド
説明

action-uri

シングル サインオン認証用のユーザ名およびパスワードを受信するための Web サーバ URI を指定します。

auth-cookie-name

認証クッキーの名前を指定します。

hidden-parameter

認証 Web サーバと交換するための非表示パラメータを作成します。

password-parameter

SSO 認証用にユーザ パスワードを送信する必要がある HTTP POST 要求パラメータの名前を指定します。

user-parameter

SSO 認証用にユーザ名を送信する必要がある HTTP POST 要求のパラメータの名前を指定します。

state-checking

H.323 のステート チェックを強制するには、パラメータ コンフィギュレーション モードで state-checking コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

state-checking [h225 | ras]

no state-checking [h225 | ras]

 
構文の説明

h225

H.225 のステート チェックを強制します。

ras

RAS のステート チェックを矯正します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例に、H.323 コールの RAS のステート チェックを強制する方法を示します。

hostname(config)# policy-map type inspect h323 h323_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# state-checking ras
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

strict-header-validation

RFC 3261 に従って SIP メッセージ内のヘッダー フィールドの厳格な検証をイネーブルにするには、パラメータ コンフィギュレーション モードで strict-header-validation コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

strict-header-validation action {drop | drop-connection | reset | log} [log}

no strict-header-validation action {drop | drop-connection | reset | log} [log}

 
構文の説明

drop

検証発生時にパケットをドロップします。

drop-connection

違反が発生した場合、接続をドロップします。

reset

違反が発生した場合、接続をリセットします。

log

違反が発生した場合、スタンドアロンまたは追加のログを記録することを指定します。任意のアクションと関連付けることができます。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例に、SIP インスペクション ポリシー マップ内の SIP ヘッダー フィールドの厳格な検証をイネーブルにする方法を示します。

hostname(config)# policy-map type inspect sip sip_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# strict-header-validation action log
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

strict-http

HTTP 非準拠のトラフィック転送を許可する場合、HTTP マップ コンフィギュレーション モード( http-map コマンドでアクセス可能)で strict-http コマンドを使用します。この機能をデフォルト動作に戻すには、コマンドの no 形式を使用します。

strict-http action { allow | reset | drop } [ log ]

no strict-http action { allow | reset | drop } [ log ]

 
構文の説明

action

メッセージがこのコマンド インスペクションに合格しなかったときに実行されるアクションです。

allow

メッセージを許可します。

drop

接続を閉じます。

log

(任意)syslog を生成します。

reset

クライアントとサーバへの TCP リセット メッセージで接続を閉じます。

 
デフォルト

このコマンドは、デフォルトでイネーブルにされています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

HTTP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 

 
使用上のガイドライン

厳格な HTTP インスペクションはディセーブルにできませんが、 strict-http action allow コマンドによって、非準拠の HTTP トラフィックの転送を許可するよう適応型セキュリティ アプライアンスを設定できます。このコマンドはデフォルト動作(HTTP 非準拠のトラフィックの転送を拒否する)を上書きします。

次の例では、非準拠 HTTP トラフィックの転送を許可しています。

hostname(config)# http-map inbound_http
hostname(config-http-map)# strict-http allow
hostname(config-http-map)#
 

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

debug appfw

拡張 HTTP インスペクションに関連するトラフィックの詳細情報を表示します。

http-map

拡張 HTTP インスペクションを設定するための HTTP マップを定義します。

inspect http

アプリケーション インスペクション用に特定の HTTP マップを適用します。

policy-map

特定のセキュリティ アクションにクラス マップを関連付けます。

strip-group

このコマンドは、user@realm という形式で受信したユーザ名だけに適用されます。レルムは、ユーザ名にデリミタ「@」とともに付加される管理ドメインです(juser@abc)。

ストリップ グループ処理をイネーブルまたはディセーブルにするには、トンネル グループ一般アトリビュート モードで strip-group コマンドを使用します。適応型セキュリティ アプライアンスは、VPN クライアントが提供するユーザ名からグループ名を取得することで、IPSec 接続のトンネル グループを選択します。ストリップ グループ処理がイネーブルにされると、適応型セキュリティ アプライアンスは認可や認証用のユーザ名のうちユーザ部分だけを送信します。それ以外の場合(ディセーブルの場合)、適応型セキュリティ アプライアンスはレルムを含めたユーザ名全体を送信します。

ストリップ グループ処理をディセーブルにするには、このコマンドの no フォームを使用します。

strip-group

no strip-group

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドのデフォルト設定は、ディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このアトリビュートは、IPSec リモート アクセス トンネル タイプだけに適用できます。

次の例では、「remotegrp」というリモート アクセス トンネル グループを IPSec リモート アクセス タイプに設定した後、一般コンフィギュレーション モードに入り、「remotegrp」というトンネル グループをデフォルト グループ ポリシーに設定してから、そのトンネル グループでストリップ グループをイネーブルにしています。

hostname(config)# tunnel-group remotegrp type IPSec_ra
hostname(config)# tunnel-group remotegrp general
hostname(config-tunnel-general)# default-group-policy remotegrp
hostname(config-tunnel-general)# strip-group
 

 
関連コマンド

コマンド
説明

clear-configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

group-delimiter

グループ名の解析をイネーブルにし、トンネルのネゴシエーション中に受信したユーザ名からグループ名を解析するときに使用するデリミタを指定します。

show running-config tunnel group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

tunnel-group general-attributes

名前付きのトンネル グループの一般アトリビュートを指定します。

strip-realm

ストリップ レルム処理をイネーブルまたはディセーブルにするには、トンネル グループ一般アトリビュート コンフィギュレーション モードで strip-realm コマンドを使用します。ストリップ レルム処理は、認証認可サーバに送信するユーザ名からレルムを削除します。レルムは、ユーザ名にデリミタ「@」とともに付加される管理ドメインです(username@realm)。コマンドがイネーブルにされると、適応型セキュリティ アプライアンスはユーザ名の認証や認可にユーザ部分だけを送信します。イネーブルでない場合、適応型セキュリティ アプライアンスはユーザ名全体を送信します。

ストリップ レルム処理をディセーブルにするには、このコマンドの no フォームを使用します。

strip-realm

no strip-realm

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドのデフォルト設定は、ディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0.1

このコマンドが追加されました。

 
使用上のガイドライン

このアトリビュートは、IPSec リモート アクセス トンネル タイプだけに適用できます。

次の例では、「remotegrp」というリモート アクセス トンネル グループを IPSec リモート アクセス タイプに設定した後、一般コンフィギュレーション モードに入り、「remotegrp」というトンネル グループをデフォルト グループ ポリシーに設定してから、そのトンネル グループでストリップ レルムをイネーブルにしています。

hostname(config)# tunnel-group remotegrp type IPSec_ra
hostname(config)# tunnel-group remotegrp general
hostname(config-tunnel-general)# default-group-policy remotegrp
hostname(config-tunnel-general)# strip-realm

 
関連コマンド

コマンド
説明

clear configure tunnel-group

設定されたすべてのトンネル グループ、または指定されたトンネル グループをクリアします。

show running-config tunnel-group

現在のトンネル グループ コンフィギュレーションを表示します。

tunnel-group general-attributes

名前付きのトンネル グループの一般アトリビュートを指定します。

storage-key

セッションとセッションの間に保存されたデータを保護するストレージ キーを指定するには、グループ ポリシー webvpn コンフィギュレーション モードで storage-key コマンドを使用します。このコマンドをコンフィギュレーションから削除するには、このコマンドの no バージョンを使用します。

storage- key { none | value < string >}

no storage-key

 
構文の説明

string

ストレージ キーの値として使用する文字列を指定します。この文字列は最大 64 文字まで使用できます。

 
デフォルト

デフォルトは none です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

ストレージ キーの値にはスペース以外のどのような文字も使用できますが、標準の英数字文字セット(0 ~ 9 と a ~ z)だけを使用することを推奨します。

次の例では、ストレージ キーに abc123 という値を設定しています。

hostname(config)# group-policy test attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# storage-key value abc123
 

 
関連コマンド

コマンド
説明

storage-objects

セッションとセッションの間に保存されたデータのストレージ オブジェクトを設定します。

storage-objects

セッションとセッションの間に保存されたデータに使用するストレージ オブジェクトを指定するには、グループ ポリシー webvpn コンフィギュレーション モードで storage-objects コマンドを使用します。このコマンドをコンフィギュレーションから削除するには、このコマンドの no バージョンを使用します。

storage- objects { none | value < string >}

no storage-objects

 
構文の説明

string

ストレージ オブジェクトの名前を指定します。この文字列は最大 64 文字まで使用できます。

 
デフォルト

デフォルトは none です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

ストレージ オブジェクト名にはスペースとカンマ以外のどのような文字も使用できますが、標準の英数字文字セット(0 ~ 9 と a ~ z)だけを使用することを推奨します。文字列内でストレージ オブジェクトの名前を区切るには、スペースなしでカンマを使用します。

次の例では、ストレージ オブジェクトの名前を cookies と xyz456 に設定しています。

hostname(config)# group-policy test attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# storage-object value cookies,xyz456
 

 
関連コマンド

コマンド
説明

storage-key

セッションとセッションの間に保存されたデータに使用するストレージ キーを設定します。

user-storage

セッションとセッションの間に保存するユーザ データの場所を設定します。

subject-name(暗号 CA 証明書マップ)

ルール エントリが IPSec ピア証明書のサブジェクト DN に適用されることを示すには、暗号 CA 証明書マップ コンフィギュレーション モードで subject-name コマンドを使用します。サブジェクト名を削除するには、コマンドの no 形式を使用します。

subject-name [ attr tag eq | ne |co | nc string ]

no subject-name [ attr tag eq | ne |co | nc string ]

 
構文の説明

attr tag

証明書 DN からの指定したアトリビュート値だけがルール エントリ文字列と比較されることを示します。タグの値は次のとおりです。

DNQ = DN 修飾子
GENQ = 世代修飾子
I = イニシャル
GN = 名
N = 名前
SN = 姓
IP = IP アドレス
SER = シリアル番号
UNAME = 非構造化名
EA = 電子メール アドレス
T = 役職
O = 組織名
L = 地名
SP = 州または都道府県
C = 国名
OU = 組織ユニット
CN = 通常名

co

DN 文字列または指定されたアトリビュートに、ルール エントリ文字列が含まれている必要があることを示します。

eq

DN 文字列または指定されたアトリビュートが、ルール文字列全体に一致する必要があることを示します。

nc

DN 文字列または指定されたアトリビュートに、ルール エントリ文字列が含まれていてはならないことを示します。

ne

DN 文字列または指定されたアトリビュートが、ルール文字列全体に一致してはならないことを示します。

string

マッチングされる値を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA 証明書マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次の例では、証明書マップ 1 の CA 証明書マップ モードに入り、証明書サブジェクト名の Organization アトリビュートが Central に一致する必要があるというルール エントリを作成しています。

hostname(config)# crypto ca certificate map 1
hostname(ca-certificate-map)# subject-name attr o eq central
hostname(ca-certificate-map)# exit
 

 
関連コマンド

コマンド
説明

crypto ca certificate map

CA 証明書マップ モードを開始します。

issuer-name

ルール エントリ文字列との比較対象となる、CA 証明書に含まれている DN を指定します。

tunnel-group-map

crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに関連付けます。

subject-name(暗号 CA トラストポイント)

登録中に証明書内に指示されたサブジェクト DN を含めるには、暗号 CA トラストポイント コンフィギュレーション モードで subject-name コマンドを使用します。これは証明書を使用するシステムまたは人です。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

subject-name X.500_name

no subject-name

 
構文の説明

X.500_name

X.500 認定者名を定義します。アトリビュート値のペアを区切るにはカンマを使用します。カンマやスペースを含む値には、両端に引用符を挿入します。例: cn=crl,ou=certs,o="cisco systems, inc.",c=US 。長さは最大 500 文字までです。

 
デフォルト

デフォルト設定では、サブジェクト名を含めません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次の例では、トラストポイント セントラルの暗号 CA トラストポイント コンフィギュレーション モードに入り、URL https//:frog.phoobin.com への自動登録をセットアップし、トラストポイント セントラルへの登録要求内にサブジェクト DN OU 証明書を含めています。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# enrollment url http://frog.phoobin.com/
hostname(ca-trustpoint)# subject-name ou=certs
hostname(ca-trustpoint)#

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

default enrollment

登録パラメータをデフォルト値に戻します。

enrollment url

CA で登録する URL を指定します。

subject-name-default

ローカル CA サーバが発行するすべてのユーザ証明書内のユーザ名に付加される汎用サブジェクト名 Distinguished Name(DN; 識別名)を指定するには、CA サーバ コンフィギュレーション モードで subject-name-default コマンドを使用します。サブジェクト名 DN をデフォルト値にリセットするには、このコマンドの no フォームを使用します。

subject-name-default dn

no subject-name-default

 
構文の説明

dn

ローカル CA サーバが発行するすべてのユーザ証明書内のユーザ名に付加される汎用サブジェクト名 DN を指定します。サポートされている DN アトリビュートは、cn(通常名)、ou(組織ユニット)、ol(組織の地名)、st(州または都道府県)、ea(電子メール アドレス)、c(会社)、t(役職)、sn(姓)です。アトリビュート値のペアを区切るにはカンマを使用します。カンマを含む値は、引用符で囲んでください。 dn に使用できる文字数は最大 500 文字です。

 
デフォルト

このコマンドはデフォルト コンフィギュレーションの一部ではありません。このコマンドは、証明書内のデフォルト DN を指定します。ユーザ エントリに DN がある場合、適応型セキュリティ アプライアンスはこのコマンドを無視します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

subject-name-default コマンドは、ユーザ名とともに使用して発行された証明書のサブジェクト名となる、共通、汎用の DN を指定します。この目的の場合、 dn の値を cn=username とするだけで十分です。このコマンドにより、ユーザごとにサブジェクト名 DN を定義する必要がなくなります。 crypto ca server user-db add dn dn コマンドを使用して追加されたユーザでは、DN フィールドはオプションです。

適応型セキュリティ アプライアンスは、ユーザ エントリで DN が指定されていないときの証明書発行だけにこのコマンドを使用します。

次の例では、DN を指定しています。

hostname(config)# crypto ca server
hostname(config-ca-server)# subject-name-default cn=cisco,cn=example_corp,ou=eng,st=ma, c="cisco systems, inc.”
hostname(config-ca-server)#
 

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。

issuer-name

認証局証明書のサブジェクト名 DN を指定します。

keysize

ユーザ証明書の登録時に生成される公開キーおよび秘密キーのサイズを指定します。

lifetime

CA 証明書、発行済み証明書、CRL のライフタイムを指定します。

summary-address(OSPF)

OSPF の集約アドレスを作成するには、ルータ コンフィギュレーション モードで summary-address コマンドを使用します。サマリー アドレス、または特定のサマリー アドレス オプションを削除するには、このコマンドの no 形式を使用します。

summary-address addr mask [ not-advertise ] [ tag tag_value ]

no summary-address addr mask [ not-advertise ] [ tag tag_value ]

 
構文の説明

addr

あるアドレス範囲に割り当てられるサマリー アドレスの値。

mask

集約ルートに使用される IP サブネット マスク。

not-advertise

(任意)指定したプレフィクスまたはマスクのペアに一致するルートを抑制します。

tag tag_value

(任意)各外部ルートに付けられた 32 ビットの 10 進値。この値は、OSPF 自体では使用されません。ASBR 間の情報通信に使用される場合があります。何も指定しない場合、BGP および EGP からのルートにはリモート自律システムの番号が使用され、その他のプロトコルには 0 が使用されます。有効な値の範囲は、0 ~ 4294967295 です。

 
デフォルト

デフォルトは次のとおりです。

tag_value は 0 です。

指定されたプレフィクスやマスクのペアに一致するルートは抑制されません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

他のルーティング プロトコルから取得されたルートをサマライズできます。OSPF にこのコマンドを使用すると、OSPF Autonomous System Boundary Router(ASBR; 自律システム境界ルータ)は、そのアドレスでカバーされるすべての再配布ルートに対して 1 つの外部ルートを集約ルートとしてアドバタイズします。このコマンドは、OSPF に再配布されている他のルーティング プロトコルからのルートだけを集約します。OSPF エリア間のルート集約には、 area range コマンドを使用します。

コンフィギュレーションから summary-address コマンドを削除するには、任意のキーワードや引数なしでこのコマンドの no 形式を使用します。コンフィギュレーションの summary コマンドからオプションを削除するには、削除するオプションとともにコマンドの no 形式を使用します。詳細については、「例」の項を参照してください。

次の例では、 tag を 3 に設定してルート集約を設定しています。

hostname(config-router)# summary-address 1.1.0.0 255.255.0.0 tag 3
hostname(config-router)#
 

次の例に、 no 形式の summary-address コマンドをオプションとともに使用して、オプションをデフォルト値に戻す方法を示します。この例では、先の例で 3 に設定された tag 値が、 summary-address コマンドから削除されます。

hostname(config-router)# no summary-address 1.1.0.0 255.255.0.0 tag 3
hostname(config-router)#
 

次の例では、コンフィギュレーションから summary-address コマンドを削除しています。

hostname(config-router)# no summary-address 1.1.0.0 255.255.0.0
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

area range

エリア境界でルートを統合、集約します。

router ospf

ルータ コンフィギュレーション モードを開始します。

show ospf summary-address

各 OSPF ルーティング プロセスのサマリー アドレス設定を表示します。

summary-address(EIGRP

特定のインターフェイスで EIGRP の集約を設定する場合、インターフェイス コンフィギュレーション モードで summary-address コマンドを使用します。サマリー アドレスを削除するには、このコマンドの no 形式を使用します。

summary-address as-number addr mask [ admin-distance ]

no summary-address as-number addr mask

 
構文の説明

as-number

自律システム番号。ご使用の EIGRP ルーティング プロセスの自律システム番号と同じであることが必要です。

addr

サマリー IP アドレス。

mask

IP アドレスに適用するサブネット マスク。

admin-distance

(任意)集約ルートのアドミニストレーティブ ディスタンス。有効な値は、0 ~ 255 です。指定しない場合、デフォルト値は 5 です。

 
デフォルト

デフォルトは次のとおりです。

EIGRP は、単一のホスト ルートの場合でも、ネットワーク レベルでルートを自動的に集約します。

EIGRP 集約ルートのアドミニストレーティブ ディスタンスは 5 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトでは、EIGRP はサブネット ルートをネットワーク レベルに集約します。自動ルート集約をディセーブルにするには、 no auto-summary コマンドを使用します。 summary-address コマンドを使用して、手動でインターフェイスごとのサブネット ルート集約を定義できます。

次の例では、 tag を 3 に設定してルート集約を設定しています。

hostname(config-router)# summary-address 1.1.0.0 255.255.0.0
hostname(config-router)#
 

次の例に、 no 形式の summary-address コマンドをオプションとともに使用して、オプションをデフォルト値に戻す方法を示します。この例では、先の例で 3 に設定された tag 値が、 summary-address コマンドから削除されます。

hostname(config-router)# no summary-address 1.1.0.0 255.255.0.0
hostname(config-router)#
 

次の例では、コンフィギュレーションから summary-address コマンドを削除しています。

hostname(config-router)# no summary-address 1.1.0.0 255.255.0.0
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

auto-summary

EIGRP ルーティング プロセスのサマリー アドレスを自動的に作成します。

sunrpc-server

SunRPC サービス テーブルにエントリを作成するには、グローバル コンフィギュレーション モードで sunrpc-server コマンドを使用します。SunRPC サービス テーブル エントリをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

sunrpc-server ifc_name ip_addr mask service service_type protocol [tcp | udp] port port [- port ] timeout hh:mm:ss

no sunrpc-server ifc_name ip_addr mask service service_type protocol [tcp | udp] port port [- port] timeout hh:mm:ss

no sunrpc-server active service service_type server ip_addr

 
構文の説明

ifc_name

サーバ インターフェイス名。

ip_addr

SunRPC サーバの IP アドレス。

mask

ネットワーク マスク。

port port [- port ]

SunRPC プロトコルのポート範囲を指定します。

port- port

(任意)SunRPC プロトコルのポート範囲を指定します。

protocol tcp

SunRPC トランスポート プロトコルを指定します。

protocol udp

SunRPC トランスポート プロトコルを指定します。

service

サービスを指定します。

service_type

sunrpcinfo コマンドで指定された SunRPC サービス プログラム番号を設定します。

timeout hh:mm:ss

SunRPC サービス トラフィックへのアクセスが終了するまでのタイムアウト アイドル時間を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

SunRPC サービス テーブルは、確立された SunRPC セッションに基づいて、タイムアウトで指定された期間、適応型セキュリティ アプライアンス経由の SunRPC トラフィックを許可するために使用されます。

次に、SunRPC サービス テーブルの作成例を示します。

hostname(config)# sunrpc-server outside 10.0.0.1 255.0.0.0 service 100003 protocol TCP port 111 timeout 0:11:00
hostname(config)# sunrpc-server outside 10.0.0.1 255.0.0.0 service 100005 protocol TCP port 111 timeout 0:11:00
 

 
関連コマンド

コマンド
説明

clear configure sunrpc-server

適応型セキュリティ アプライアンスからの Sun リモート プロセッサ コール サービスをクリアします。

show running-config sunrpc-server

SunRPC コンフィギュレーションに関する情報を表示します。

support-user-cert-validation

現在のトラストポイントに基づいてリモート ユーザ証明書を検証するには、このトラストポイントがリモート証明書を発行した CA に認証されているのであれば、暗号 CA トラストポイント コンフィギュレーション モードで support-user-cert-validation コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

support-user-cert-validation

no support-user-cert-validation

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルト設定では、ユーザ証明書の検証をサポートしています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは同じ CA について 2 つのトラストポイントを持つことができるため、同じ CA から 2 つの異なる ID 証明書が存在することがあります。そのトラストポイントが、この機能をイネーブルにした別のトラストポイントにすでに関連付けられている CA に認証される場合、このオプションは自動的にディセーブルになります。これにより、パス検証パラメータの選択であいまいさが生じないようになります。ユーザが、この機能をイネーブルにした別のトラストポイントにすでに関連付けられている CA に認証されたトラストポイントでこの機能を有効化しようとした場合、アクションは許可されません。2 つのトラストポイント上でこの設定をイネーブルにして、同じ CA の認証を受けることはできません。

次の例では、トラストポイント セントラルの暗号 CA トラストポイント コンフィギュレーション モードに入り、トラストポイント セントラルのユーザ検証受け入れをイネーブルにしています。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# support-user-cert-validation
hostname(ca-trustpoint)#

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

default enrollment

登録パラメータをデフォルト値に戻します。

svc ask

適応型セキュリティ アプライアンスがリモート SSL VPN クライアント ユーザに対してクライアントのダウンロードを促せるようにするには、グループ ポリシー WebVPN またはユーザ名 webvpn コンフィギュレーション モードから svc ask コマンドを使用します。

コンフィギュレーションからコマンドを削除するには、このコマンドの no 形式を使用します。

svc ask {none | enable [default {webvpn | svc} timeout value ]}

no svc ask none [default {webvpn | svc}]

 
構文の説明

none

デフォルトの動作をすぐに実行します。

enable

リモート ユーザに対して、クライアントをダウンロードするか、クライアントレス接続用のポータル ページに移動するよう促し、ユーザの応答を無期限で待ちます。

default svc timeout value

リモート ユーザに対して、クライアントをダウンロードするか、クライアントレス接続用のポータル ページに移動するよう促し、デフォルトの動作(クライアントのダウンロード)実行まで value の期間待ちます。

default webvpn timeout value

リモート ユーザに対して、クライアントをダウンロードするか、クライアントレス接続用のポータル ページに移動するよう促し、デフォルトの動作(クライアントレス ポータル ページの表示)実行まで value の期間待ちます。

 
デフォルト

このコマンドのデフォルトは、 svc ask none default webvpn です。セキュリティ アプライアンスはただちにクライアントレス接続用ポータル ページを表示します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション

--

--

--

ユーザ名 webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

図 30-1 は、 default svc timeout value または default webvpn timeout value のいずれかが設定された場合にリモート ユーザ側で表示されるプロンプトです。

図 30-1 リモート ユーザに SSL VPN クライアントのダウンロードを促すプロンプト表示

 

次の例では、クライアントをダウンロードするようリモート ユーザにプロンプトを表示するか、ポータル ページに移動してクライアントのダウンロードまで 10 秒間ユーザの応答を待つ ように、適応型セキュリティ アプライアンスを設定しています。

hostname(config-group-webvpn)# svc ask enable default svc timeout 10

 
関連コマンド

コマンド
説明

show webvpn svc

インストールされている SSL VPN クライアントに関する情報を表示します。

svc

特定のグループまたはユーザに対して SSL VPN クライアントをイネーブルまたは必須にします。

svc image

リモート PC へのダウンロードのために適応型セキュリティ アプライアンスがキャッシュ メモリで展開するクライアント パッケージ ファイルを指定します。

svc compression

特定のグループやユーザに対して SSL VPN 接続上の http データ圧縮をイネーブルにするには、グループ ポリシー WebVPN またはユーザ名 webvpn コンフィギュレーション モードで svc compression コマンドを使用します。

コンフィギュレーションからコマンドを削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。

svc compression {deflate | none}

no svc compression {deflate | none}

 
構文の説明

deflate

グループまたはユーザに対して圧縮をイネーブルにすることを指定します。

none

そのグループまたはユーザに対し圧縮がディセーブルにされるよう指示します。

 
デフォルト

デフォルトでは、圧縮は none (ディセーブル)に設定されています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション

--

--

--

ユーザ名 webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

SSL VPN 接続の場合、webvpn コンフィギュレーション モードから設定された compression コマンドは、グループ ポリシーおよびユーザ名 webvpn モードで設定された svc compression コマンドより優先されます。

次の例では、グループ ポリシー sales について、SVC 圧縮をディセーブルにしています。

hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# svc compression none

 
関連コマンド

コマンド
説明

compression

SSL、Web VPN、IPSec VPN 接続すべてで圧縮をイネーブルにします。

show webvpn svc

インストールされている SSL VPN クライアントに関する情報を表示します。

svc dpd-interval

Dead Peer Detection(DPD; デッド ピア検出)を適応型セキュリティ アプライアンスでイネーブルにし、リモート クライアントとセキュリティ アプライアンスのいずれかで SSL VPN 接続を介した DPD を実行する頻度を設定するには、グループ ポリシーまたはユーザ名 webvpn モードで svc dpd-interval コマンドを使用します。

svc dpd-interval {[ gateway { seconds | none }] | [ client { seconds | none }] }

no svc dpd-interval {[ gateway { seconds | none }] | [ client { seconds | none }] }

コンフィギュレーションからこのコマンドを削除して、値が継承されるようにするには、コマンドの no 形式を使用します。

 
構文の説明

gateway seconds

適応型セキュリティ アプライアンスが DPD を実行する頻度を 30 ~ 3600 秒で指定します。

gateway none

適応型セキュリティ アプライアンスが実行する DPD をディセーブルにします。

client seconds

クライアントが DPD を実行する頻度を 30 ~ 3600 秒で指定します。

client none

クライアントが実行する DPD をディセーブルにします。

 
デフォルト

デフォルトでは、DPD はイネーブルにされており、適応型セキュリティ アプライアンス(ゲートウェイ)とクライアントの両方で 30 秒に設定されています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション

--

--

--

ユーザ名 webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

8.0(3)

デフォルト設定が、ディセーブルから 適応型セキュリティ アプライアンス(ゲートウェイ)とクライアントともに 30 秒間へ変更されました。

次の例では、既存のグループ ポリシー sales について、ユーザが適応型セキュリティ アプライアンスによる DPD の実行頻度が 3000 秒、クライアントによる DPD 頻度が 1000 秒になるように設定しています。

hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# svc dpd-interval gateway 3000
hostname(config-group-webvpn)# svc dpd-interval client 1000

 
関連コマンド

コマンド
説明

svc

特定のグループまたはユーザに対して SSL VPN クライアントをイネーブルまたは必須にします。

svc keepalive

リモート コンピュータ上のクライアントがキープアライブ メッセージをセキュリティ アプライアンスに SSL VPN 接続を介して送信する頻度を指定します。

svc keep-installer

クライアントの自動アンインストール機能をディセーブルにします。クライアントは、今後の接続のためにリモート PC 上にインストールされたままになります。

svc rekey

クライアントが SSL VPN 接続のキー再作成を実行できるようにします。

svc dtls enable

Cisco AnyConnect VPN クライアントによって SSL VPN 接続を確立する特定のグループやユーザのインターフェイス上で Datagram Transport Layer Security(DTLS)接続をイネーブルにするには、グループ ポリシー webvpn またはユーザ名アトリビュート webvpn コンフィギュレーション モードから dtls enable コマンドを使用します。

コンフィギュレーションからコマンドを削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。

dtls enable interface

no dtls enable interface

 
構文の説明

interface

インターフェイス名。

 
デフォルト

デフォルトはイネーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション

--

--

--

ユーザ名 webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

DTLS をイネーブルにすることで、AnyConnect クライアントは SSL VPN 接続を確立して同時に 2 つのトンネル(SSL トンネルと DTLS トンネル)を使用できます。DTLS の使用によって、一部の SSL 接続に関連する遅延や帯域幅の問題を回避し、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスを改善できます。

DTLS をイネーブルにしない場合、SSL VPN 接続を確立する AnyConnect クライアント ユーザは SSL トンネルだけで接続します。

このコマンドは、特定のグループやユーザに DTLS をイネーブルにします。すべての AnyConnect クライアント ユーザに DTLS をイネーブルにする場合、webvpn コンフィギュレーション モードで dtls enable コマンドを使用します。

次の例では、グループ ポリシー sales のグループ ポリシー webvpn コンフィギュレーション モードに入り、DTLS をイネーブルにしています。

hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# svc dtls enable

 
関連コマンド

コマンド
説明

dtls port

DTLS 用 UDP ポートを指定します。

svc dtls

SSL VPN 接続を確立するグループまたはユーザに対して、DTLS をイネーブルにします。

vpn-tunnel-protocol

適応型セキュリティ アプライアンスがリモート アクセス用に許可する VPN プロトコル(SSL を含む)を指定します。

svc enable

適応型セキュリティ アプライアンスがリモート コンピュータに SSL VPN クライアントをダウンロードできるようにするには、webvpn コンフィギュレーション モードで svc enable コマンドを使用します。

コンフィギュレーションからコマンドを削除するには、このコマンドの no 形式を使用します。

svc enable

no svc enable

 
デフォルト

このコマンドのデフォルトはディセーブルです。セキュリティ アプライアンスはクライアントをダウンロードしません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1.1

このコマンドが追加されました。

 
使用上のガイドライン

no svc enable コマンドを入力しても、アクティブ セッションは終了しません。

svc enable コマンドは、svc image xyz コマンドで AnyConnect イメージを設定した後に発行する必要があります。svc enable コマンドが発行されない場合、AnyConnect の動作は不完全になり、show webvpn svc コマンドは SSL VPN クライアントがイネーブルにされていないと見なし、インストールされた AnyConnect パッケージをリストしません。

次の例で、ユーザはセキュリティ アプライアンスに対し、クライアントのダウンロードをイネーブルにしています。

(config)# webvpn
(config-webvpn)# svc enable
 

 
関連コマンド

コマンド
説明

show webvpn svc

適応型セキュリティ アプライアンスにインストールされ、リモート PC へのダウンロード用にキャッシュ メモリにロードされた SSL VPN クライアントの情報を表示します。

svc localization

Cisco AnyConnect VPN クライアントにダウンロードされるローカリゼーション ファイルを格納するパッケージ ファイルを指定します。

svc profiles

適応型セキュリティ アプライアンスが Cisco AnyConnect VPN クライアントにダウンロードするプロファイルを格納するファイルの名前を指定します。

svc image

リモート PC へのダウンロードのために適応型セキュリティ アプライアンスがキャッシュ メモリで展開する SSL VPN クライアント パッケージ ファイルを指定します。

svc firewall-rule

パブリックまたはプライベートの ACL ファイアウォールを確立するには、グループ ポリシー webvpn またはユーザ名 webvpn コンフィギュレーション モードで svc firewall-rule コマンドを使用します。

svc firewall-rule client interface {public | private} {none | value <acl_name>}


) このコマンドを想定どおりに機能させるためには、AnyConnect セキュア モビリティ クライアントの AnyConnect Secure Mobility ライセンス サポートを提供する AsyncOS for Web バージョン 7.0 のリリースが必要です。また、AnyConnect Secure Mobility、ASA 8.3、ASDM 6.3 をサポートする AnyConnect リリースも必要です。


 
構文の説明

client interface

クライアント インターフェイスを指定します。

private

プライベート インターフェイス ルールを設定します。

public

パブリック インターフェイス ルールを設定します。

acl_name

Access Control List(ACL; アクセス制御リスト)の名前。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション

--

--

--

ユーザ名 webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.3(1)

このコマンドが追加されました。

 
関連コマンド

コマンド
説明

show webvpn svc

インストールされている SSL VPN クライアントに関する情報を表示します。

svc

特定のグループまたはユーザに対して SSL VPN クライアントをイネーブルまたは必須にします。

svc image

リモート PC へのダウンロードのために適応型セキュリティ アプライアンスがキャッシュ メモリで展開するクライアント パッケージ ファイルを指定します。

svc image

リモート PC へのダウンロード用に適応型セキュリティ アプライアンスがキャッシュ メモリに展開する SSL VPN クライアント パッケージ ファイルを指定するには、webvpn コンフィギュレーション モードで svc image コマンドを使用します。

コンフィギュレーションからコマンドを削除するには、このコマンドの no 形式を使用します。

svc image filename order [regex expression ]

no svc image filename order [regex expression ]

 
構文の説明

filename

パッケージ ファイルのファイル名を指定します。最大 255 文字までです。

order

クライアント パッケージ ファイルが複数の場合、 order でパッケージ ファイルの順序を 1 ~ 65535 で指定します。セキュリティ アプライアンスは、オペレーティング システムとマッチするまで各クライアント分をリモート PC に指定された順序でダウンロードします。

regex expression

適応型セキュリティ アプライアンスがブラウザによって渡される User-Agent 文字列に対するマッチングに使用する文字列を指定します。

 
デフォルト

デフォルトの順序は 1 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1.1

このコマンドが追加されました。

8.0(1)

regex expression 引数が追加されました。

 
使用上のガイドライン

パッケージ ファイルに番号を付けることで、オペレーティング システムとマッチするまでセキュリティ アプライアンスがパッケージの一部をリモート PC にダウンロードする順序を確立します。最も小さな数字を持つパッケージ ファイルが最初にダウンロードされます。それで、リモート PC 上で最もよく使用されているオペレーティング システムにマッチするパッケージ ファイルに最も小さな数字を割り当てる必要があります。

デフォルトの順序は 1 です。 order 引数を指定しない場合、 svc image コマンドが入力されるたびに、それまで 1 番とされていたイメージを上書きすることになります。

各クライアント パッケージ ファイルについての svc image コマンドは、どのような順序でも入力できます。たとえば、2 番めにダウンロードされるパッケージファイル( order 2)を、最初にダウンロードされるパッケージ ファイル( order 1)を指定する svc image コマンドよりも前に指定できます。

モバイル ユーザのために、 regex キーワード を使用してモバイル デバイスの接続時間を短くできます。ブラウザが適応型セキュリティ アプライアンスに接続すると、HTTP ヘッダー内の User-Agent 文字列が取り込まれます。適応型セキュリティ アプライアンスが文字列を受信したとき、文字列がイメージに設定した表現にマッチする場合は、他のクライアント イメージをテストせず、すぐにそのイメージをダウンロードします。

適応型セキュリティ アプライアンスは、SSL VPN クライアントと Cisco Secure Desktop(CSD)の両方のパッケージ ファイルをキャッシュ メモリに展開します。適応型セキュリティ アプライアンスがパッケージ ファイルの展開を成功させるためには、パッケージ ファイルのファイルとイメージの格納に十分なキャッシュ メモリが必要です。

パッケージの展開に十分なキャッシュ メモリがないことを適応型セキュリティ アプライアンスが検出した場合、コンソールにエラー メッセージが表示されます。次に、 svc image コマンドでパッケージ ファイルをインストールしようとしたときのエラー メッセージ報告の例を示します。

hostname(config-webvpn)# svc image disk0:/vpn-win32-Release-2.0.0070-k9.pkg
ERROR: File write error (check disk space)
ERROR: Unable to load SVC image - extraction failed
 

これがパッケージ ファイルのインストール試行中に発生した場合、グローバル コンフィギュレーション モードから dir cache:/ コマンドを使用して、キャッシュ メモリの残りとこれまでにインストールされたパッケージのサイズを確認します。


) 適応型セキュリティ アプライアンスにデフォルトの内部フラッシュ メモリ サイズまたはデフォルトの DRAM サイズ(キャッシュ メモリ用)だけしかない場合、適応型セキュリティ アプライアンス上で複数の AnyConnect クライアント パッケージの格納とロードを行うと、問題が発生することがあります。フラッシュ メモリにパッケージ ファイルに十分な容量がある場合でも、クライアントの unzip とロードのときに適応型セキュリティ アプライアンスのキャッシュ メモリが不足する場合があります。AnyConnect を使用する場合の適応型セキュリティ アプライアンスのメモリ要件について、および適応型セキュリティ アプライアンスで行えるメモリ アップグレードについて詳しくは、Cisco ASA 5500 シリーズの最新のリリース ノートを参照してください。


次の例で、show webvpn svc コマンドの出力結果は、windows.pkg ファイルが order 番号 1、windows2.pkg ファイルが order 番号 15 を持つことを示しています。リモート コンピュータが接続を確立すると、windows.pkg ファイルが最初にダウンロードされます。ファイルがオペレーティング システムにマッチしない場合、windows2.pkg ファイルがダウンロードされます。

hostname(config-webvpn)# show webvpn svc
1. disk0:/windows.pkg 1
CISCO STC win2k+ 1.0.0
1,0,2,132
Thu 08/25/2005 21:51:30.43
 
2. disk0:/windows2.pkg 15
CISCO STC win2k+ 1.0.0
1,0,0,164
Thu 02/17/2005 20:09:22.43
 
2 SSL VPN Client(s) installed
 

次に、ユーザは svc image コマンドを使用してパッケージ ファイルの順序を変更し、windows2.pkg ファイルをリモート PC にダウンロードされる最初のファイルに、windows.pkg ファイルを 2 番めに設定します。

hostname(config-webvpn)# svc image windows2.pkg 10
hostname(config-webvpn)# svc image windows.pkg 20
 
show webvpn svc コマンドを再入力すると、表示されるファイルの順番が変わります。
 
hostname(config-webvpn)# show webvpn svc
1. disk0:/windows2.pkg 10
CISCO STC win2k+ 1.0.0
1,0,2,132
Thu 08/25/2005 21:51:30.43
 
2. disk0:/windows.pkg 20
CISCO STC win2k+ 1.0.0
1,0,0,164
Thu 02/17/2005 20:09:22.43
 
2 SSL VPN Client(s) installed

 
関連コマンド

コマンド
説明

dir cache:

キャッシュ メモリの内容を表示します。

show webvpn svc

適応型セキュリティ アプライアンスにインストールされ、リモート PC へのダウンロード用にキャッシュ メモリにロードされた SSL VPN クライアントの情報を表示します。

svc enable

適応型セキュリティ アプライアンスがクライアントをリモート コンピュータにダウンロードできるようにします。

svc keepalive

リモート コンピュータが SSL VPN 接続を介して適応型セキュリティ アプライアンスに送信するキープアライブ メッセージの頻度を設定するには、グループ ポリシー webvpn またはユーザ名 webvpn コンフィギュレーション モードで svc keepalive コマンドを使用します。

コンフィギュレーションからこのコマンドを削除して、値が継承されるようにするには、コマンドの no 形式を使用します。

svc keepalive {none | seconds }

no svc keepalive {none | seconds }

 
構文の説明

none

キープアライブ メッセージをディセーブルにします。

seconds

キープアライブ メッセージをイネーブルにし、メッセージの頻度を 15 ~ 600 秒で指定します。

 
デフォルト

デフォルトは 20 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション

--

--

--

ユーザ名 webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

8.0(3)

デフォルト設定がディセーブルから 20 秒に変更されました。

 
使用上のガイドライン

Cisco SSL VPN Client(SVC; SSL VPN クライアント)と Cisco AnyConnect VPN クライアントは、両方とも適応型セキュリティ アプライアンスへの SSL VPN 接続の確立時にキープアライブ メッセージを送信できます。

キープアライブ メッセージの頻度( seconds で指定)を調整して、アイドル接続の許容時間がデバイス側で制限されている場合でも、プロキシ、ファイアウォール、NAT デバイスを介した SSL VPN 接続を開いたままにしておけます。

また頻度を調整すると、リモート ユーザが Microsoft Outlook または Microsoft Internet Explorer などのソケット ベース アプリケーションをアクティブに実行していない場合でも、クライアントは切断されず、再接続する必要がありません。


) キープアライブはデフォルトでイネーブルになっています。キープアライブをディセーブルにすると、フェールオーバー イベント発生時に、SSL VPN クライアント セッションはスタンバイ デバイスに引き継がれません。


次の例では、ユーザは sales という既存のグループ ポリシーについて、クライアントに 300 秒(5 分)の頻度でキープアライブ メッセージを送信させるよう適応型セキュリティ アプライアンスを設定しています。

hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# svc keepalive 300

 
関連コマンド

コマンド
説明

svc

特定のグループまたはユーザに SSL VPN クライアントをイネーブルにします。または、要求します。

svc dpd-interval

Dead Peer Detection(DPD; デッド ピア検出)を適応型セキュリティ アプライアンスでイネーブルにし、クライアントまたは適応型セキュリティ アプライアンスのいずれかで DPD を実行する頻度を設定します。

svc keep-installer

クライアントの自動アンインストール機能をディセーブルにします。クライアントは、今後の接続のためにリモート PC 上にインストールされたままになります。

svc rekey

クライアントのセッションでのキーの再作成をイネーブルにします。

 

svc keep-installer

リモート PC への SSL VPN クライアントの恒久的なインストールをイネーブルにするには、グループ ポリシー webvpn またはユーザ名 webvpn コンフィギュレーション モードで svc keep-installer コマンドを使用します。

コンフィギュレーションからこのコマンドを削除して、値が継承されるようにするには、コマンドの no 形式を使用します。

svc keep-installer { installed | none }

no svc keep-installer { installed | none }

 
構文の説明

installed

クライアントの自動アンインストール機能をディセーブルにします。クライアントは、今後の接続のためにリモート PC 上にインストールされたままになります。

none

アクティブな接続が終了した後にリモート コンピュータからクライアントがアンインストールされるよう指定します。

 
デフォルト

デフォルトでは、クライアントの恒久的インストールがイネーブルになっています。セッションが終わっても、クライアントはリモート コンピュータ上に残ります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション

--

--

--

ユーザ名 webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

次の例で、ユーザはグループ ポリシー webvpn コンフィギュレーション モードに入り、セッション終了時にクライアントを削除するようグループ ポリシーを設定しています。

hostname(config-group-policy)#webvpn
hostname(config-group-webvpn)# svc keep-installer none
hostname(config-group-webvpn)#

 
関連コマンド

コマンド
説明

show webvpn svc

適応型セキュリティ アプライアンスにインストールされ、リモート PC へのダウンロード用にキャッシュ メモリにロードされた SSL VPN クライアントの情報を表示します。

svc

特定のグループまたはユーザに対して SSL VPN クライアントをイネーブルまたは必須にします。

svc enable

適応型セキュリティ アプライアンスが SSL VPN クライアント ファイルをリモート PC にダウンロードできるようにします。

svc image

リモート PC へのダウンロードのために適応型セキュリティ アプライアンスがキャッシュ メモリで展開する SSL VPN クライアント パッケージ ファイルを指定します。

svc modules

オプション機能のために AnyConnect SSL VPN クライアントが必要とするオプション モジュールの名前を指定するには、グループ ポリシー webvpn またはユーザ名 webvpn コンフィギュレーション モードから svc modules コマンドを使用します。

コンフィギュレーションからコマンドを削除するには、このコマンドの no 形式を使用します。

svc modules { none | value string }

no svc modules { none | value string }

 
構文の説明

string

オプション モジュールの名前です。最大 256 文字までです。複数の文字列を指定する場合は、カンマで区切ります。

 
デフォルト

デフォルトは none です。セキュリティ アプライアンスはオプション モジュールをダウンロードしません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション

--

--

--

ユーザ名 webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

ダウンロード時間を最小にするため、クライアントはサポートしている各機能に必要なモジュールのダウンロード(適応型セキュリティ アプライアンスからの)だけを要求します。 svc modules コマンドによって、適応型セキュリティ アプライアンスはこれらのモジュールをダウンロードできるようになります。 none を選択すると、適応型セキュリティ アプライアンスはオプション モジュールなしで、重要なファイルだけをダウンロードします。

vpngina 文字列で、Start Before Logon(SBL)機能をイネーブルにします。この文字列によって、適応型セキュリティ アプライアンスは AnyConnect クライアント VPN 接続の Graphical Identification and Authentication(GINA)をダウンロードできます。

dart 文字列で、Cisco Diagnostic AnyConnect Reporting Tool(DART)をイネーブルにします。DART はシステム ログや他の診断情報のスナップショットをキャプチャし、Cisco TAC にトラブルシューティング情報を送るために便利なように、デスクトップに .zip ファイルを作成します。このキーワードが効果を上げるためには、適応型セキュリティ アプライアンスに DART パッケージをインストールしていることが必要です。

value キーワードに続けてどのような文字列を入力することもできますが、このコマンド内で認識されるのは vpngina dart だけです。すべてのクライアント機能の値のリストについては、Cisco AnyConnect VPN クライアントのリリース ノートを参照してください。

次の例で、ユーザはグループ ポリシー telecommuters のグループ ポリシー アトリビュート モードに入り、さらにグループ ポリシーの webvpn コンフィギュレーション モードに入って、文字列 vpngina を指定しています。

hostname(config)# group-policy telecommuters attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# svc modules value vpngina

 
関連コマンド

コマンド
説明

show webvpn svc

適応型セキュリティ アプライアンスのキャッシュ メモリにロードされ、ダウンロード利用が可能な SSL VPN クライアントの情報を表示します。

svc enable

特定のグループまたはユーザに SSL VPN クライアントをイネーブルにします。

svc image

リモート PC へのダウンロードのために適応型セキュリティ アプライアンスがキャッシュ メモリで展開する SSL VPN クライアント パッケージ ファイルを指定します。

svc mtu

Cisco AnyConnect VPN クライアントによって確立された SSL VPN 接続の MTU サイズを調整するには、グループ ポリシー webvpn またはユーザ名 webvpn コンフィギュレーション モードから svc mtu コマンドを使用します。

コンフィギュレーションからコマンドを削除するには、このコマンドの no 形式を使用します。

svc mtu size

no svc mtu size

 
構文の説明

size

MTU サイズを 256 ~ 1406 バイトで指定します。

 
デフォルト

デフォルト サイズは 1406 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション

--

--

--

ユーザ名 webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、AnyConnect クライアントだけに影響します。レガシー Cisco SSL VPN Client(SVC; SSL VPN クライアント)は、さまざまな MTU サイズに調整できません。

デフォルト グループ ポリシー内のこのコマンドのデフォルトは no svc mtu です。MTU サイズは、接続が使用するインターフェイスの MTU に基づいて自動的に調整され、IP/UDP/DTLS オーバーヘッドをマイナスします。

このコマンドが影響するのは、AnyConnect クライアントの接続のうち、SSL 接続および DTLS で SSL に確立された接続だけです。

次の例では、グループ ポリシー telecommuters の MTU サイズを 500 バイトに設定しています。

hostname(config)# group-policy telecommuters attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# svc mtu 500

 
関連コマンド

コマンド
説明

svc keep-installer

クライアントの自動アンインストール機能をディセーブルにします。初回のダウンロードの後、接続が終了してもクライアントはリモート PC に残ります。

svc dtls

Anyconnect クライアントの DTLS が SSL VPN 接続を確立できるようにします。

show run webvpn

svc コマンドを含め、WebVPN についてのコンフィギュレーション情報を表示します。

svc profiles(グループ ポリシーまたはユーザ名アトリビュート)

AnyConnect クライアント ユーザにダウンロードする AnyConnect プロファイルを指定するには、グループ ポリシー webvpn またはユーザ名アトリビュート webvpn コンフィギュレーション モードで svc profile コマンドを使用します。

コンフィギュレーションからコマンドを削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。

svc profiles { none | value profile} [type <type>]

no svc profiles { none | value profile} [type <type>]

 
構文の説明

profile

フラッシュ メモリ内のプロファイルの名前。

type

プロファイルのタイプ。サポートされているタイプは user(デフォルト)だけで、AnyConnect クライアントの VPN 機能のパラメータを指定します。

 
デフォルト

デフォルトは none です。適応型セキュリティ アプライアンスはプロファイルをダウンロードしません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション

--

--

--

ユーザ名 webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

8.3

オプションのタイプ値が導入されました。

 
使用上のガイドライン

このコマンドは、グループ ポリシー webvpn またはユーザ名アトリビュート webvpn コンフィギュレーション モードから入力されると、グループ ポリシーに対し、またはユーザ名に基づいて、AnyConnect クライアント ユーザにダウンロードする AnyConnect クライアント プロファイル(フラッシュ メモリ内に既存のもの)を指定します。

AnyConnect プロファイルは、クライアント ユーザ インターフェイス内の接続エントリの設定のためにクライアントが使用するコンフィギュレーション パラメータのグループで、ホスト コンピュータの名前やアドレスが含まれます。ASDM でプロファイルの作成と保存ができます。プロファイル ファイルはテキスト エディタで編集でき、ユーザ インターフェイスでは使用できないパラメータの詳細を設定できます。

フラッシュ メモリのファイルを AnyConnect プロファイルとして指定するには、webvpn コンフィギュレーション モードから svc profiles コマンドを使用します。その後、グループ ポリシー webvpn コンフィギュレーション モードに入り、そのモードから svc profiles コマンドを使用してそのグループ ポリシーのプロファイルを指定します。

AnyConnect のインストールには、プロファイル テンプレートが含まれており(anyconnectprofile.xml)、他のプロファイル ファイル作成のベースとして編集や使用が行えます。AnyConnect プロファイルの編集について詳しくは、『 Cisco AnyConnect VPN Client Administrator Guide 』を参照してください。

次の例では、使用可能なプロファイルを表示する svc profiles value コマンドをユーザがクエリーしています。

asa1(config-group-webvpn)# svc profiles value ?
 
config-group-webvpn mode commands/options:
Available configured profile packages:
engineering
sales
 

ユーザはその後、プロファイル sales を使用するようグループ ポリシーを設定しています。

asa1(config-group-webvpn)# svc profiles sales
 

 
関連コマンド

コマンド
説明

show webvpn svc

インストールされている SSL VPN クライアントに関する情報を表示します。

svc

特定のグループまたはユーザに SSL VPN クライアントをイネーブルにします。または、要求します。

svc image

リモート PC へのダウンロードのために適応型セキュリティ アプライアンスがキャッシュ メモリで展開するクライアント パッケージ ファイルを指定します。

svc profiles(webvpn)

フラッシュ メモリ内のファイルを AnyConnect プロファイル ファイルとして指定するには、webvpn コンフィギュレーション モードで svc profile コマンドを使用します。

コンフィギュレーションからこのコマンドを削除し、適応型セキュリティ アプライアンスにキャッシュ メモリからパッケージ ファイルをアンロードさせるには、このコマンドの no 形式を使用します。

svc profiles { profile path}

no svc profiles { profile path}

 
構文の説明

path

適応型セキュリティ アプライアンスのフラッシュ メモリ内のプロファイル ファイルのパスとファイル名。

profile

キャッシュ内に作成するプロファイルの名前。

 
デフォルト

デフォルトは none です。適応型セキュリティ アプライアンスはキャッシュ メモリにプロファイル パッケージをロードしません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

新しい AnyConnect プロファイルを作成しフラッシュ メモリにアップロードした後、webvpn コンフィギュレーション モードで svc profiles コマンドを使用して、その XML ファイルをセキュリティ アピアランスに XML ファイルとして指定します。このコマンドは、適応型セキュリティ アプライアンスのキャッシュ メモリ内のファイルをロードします。その後、グループ ポリシー webvpn コンフィギュレーションまたはユーザ名アトリビュート コンフィギュレーション モードから svc profiles コマンドを使用して、プロファイルをグループまたはユーザに指定します。

AnyConnect プロファイルは、クライアント ユーザ インターフェイス内の接続エントリの設定のためにクライアントが使用するコンフィギュレーション パラメータのグループで、ホスト コンピュータの名前やアドレスが含まれます。ASDM でプロファイルの作成と保存ができます。プロファイル ファイルはテキスト エディタで編集でき、ユーザ インターフェイスでは使用できないパラメータの詳細を設定できます。

フラッシュ メモリのファイルを AnyConnect プロファイルとして指定するには、webvpn コンフィギュレーション モードから svc profiles コマンドを使用します。その後、グループ ポリシー webvpn コンフィギュレーション モードに入り、そのモードから svc profiles コマンドを使用してそのグループ ポリシーのプロファイルを指定します。

AnyConnect のインストールには、プロファイル テンプレートが含まれており(anyconnectprofile.xml)、他のプロファイル ファイル作成のベースとして編集や使用が行えます。AnyConnect プロファイルの編集について詳しくは、『 Cisco AnyConnect VPN Client Administrator Guide 』を参照してください。

次の例では、ユーザはまず AnyConnect のインストールに付属する anyconnectprofile.xml ファイルから 2 つの新規プロファイル ファイル(sales_hosts.xml と engineering_hosts.xml)を作成し、適応型セキュリティ アプライアンスのフラッシュ メモリにアップロードしています。

さらに、ユーザはそれらのファイルを AnyConnect のプロファイルとして適応型セキュリティ アプライアンスに指定し、 sales engineering という名前を指定しています。

asa1(config-webvpn)# svc profiles sales disk0:sales_hosts.xml
asa1(config-webvpn)# svc profiles engineering disk0:engineering_hosts.xml
 

dir cache:stc/profiles コマンドを入力すると、キャッシュ メモリにロードされたプロファイルが表示されます。

asa1(config-webvpn)# dir cache:stc/profiles
 
Directory of cache:stc/profiles/
 
0 ---- 774 11:54:41 Nov 22 2006 engineering.pkg
0 ---- 774 11:54:29 Nov 22 2006 sales.pkg
 
2428928 bytes total (18219008 bytes free)
asa1(config-webvpn)#
 

これで、グループ ポリシー webvpn コンフィギュレーションまたはユーザ名アトリビュート コンフィギュレーション モードの svc profiles コマンドで使用できるようになりました。

asa1(config)# group-policy sales attributes
asa1(config-group-policy)# webvpn
asa1(config-group-webvpn)# svc profiles value ?
 
config-group-webvpn mode commands/options:
Available configured profile packages:
engineering
sales

 
関連コマンド

コマンド
説明

show webvpn svc

インストールされている SSL VPN クライアントに関する情報を表示します。

svc

特定のグループまたはユーザに対して SSL VPN クライアントをイネーブルまたは必須にします。

svc image

適応型セキュリティ アプライアンスがリモート PC へのダウンロード用にキャッシュ メモリに展開する SSL VPN パッケージ ファイルを指定します。

svc rekey

リモート クライアントによる SSL VPN 接続上でのキーの再作成をイネーブルにするには、グループ ポリシー webvpn またはユーザ名 webvpn コンフィギュレーション モードで svc rekey コマンドを使用します。

コンフィギュレーションからこのコマンドを削除して、値が継承されるようにするには、コマンドの no 形式を使用します。

svc rekey { method { ssl | new-tunnel } | time minutes | none }

no svc rekey { method { ssl | new-tunnel } | time minutes | none }

 
構文の説明

method ssl

キーの再作成中の SSL 再ネゴシエーションが実行されるよう指定します。

method new-tunnel

キーの再作成中にクライアントが新しいトンネルを確立するよう指定します。

time minutes

セッションの開始からキーの再作成が実行されるまでの分数を指定します。範囲は 4 ~ 10080(1 週間)です。

method none

キーの再作成をディセーブルにします。

 
デフォルト

デフォルトは none(ディセーブル)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション

--

--

--

ユーザ名 webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

レガシー Cisco SSL VPN Client(SVC; SSL VPN クライアント)と Cisco AnyConnect VPN クライアントは、両方とも適応型セキュリティ アプライアンスへの SSL VPN 接続上でキーの再作成を実行できます。

キーの再作成方法として、SSL を設定するよう推奨します。

次の例で、ユーザはグループ ポリシー sales に属するリモート クライアントについて、キーの再作成中に SSL で再ネゴシエーションを行い、セッション開始から 30 分後にキーの再作成が発生するよう指定しています。

hostname(config)# group-policy sales attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# svc rekey method ssl
hostname(config-group-webvpn)# svc rekey time 30

 
関連コマンド

コマンド
説明

svc

特定のグループまたはユーザに AnyConnect クライアントをイネーブルにします。または、要求します。

svc dpd-interval

Dead Peer Detection(DPD; デッド ピア検出)を適応型セキュリティ アプライアンスでイネーブルにし、AnyConnect クライアントまたはセキュリティ アプライアンスのいずれかで DPD を実行する頻度を設定します。

svc keepalive

リモート コンピュータ上の Anyconnect クライアントがキープアライブ メッセージを適応型セキュリティ アプライアンスに送信する頻度を指定します。

svc keep-installer

AnyConnect クライアントのリモート コンピュータへの恒久的なインストールをイネーブルにします。

switchport access vlan

ASA 5505 適応型セキュリティ アプライアンスなどビルトイン スイッチを持つモデルには、インターフェイス コンフィギュレーション モードで switchport access vlan コマンドを使用して、スイッチ ポートを VLAN に割り当てます。

switchport access vlan number

no switchport access vlan number

 
構文の説明

vlan number

このスイッチ ポートに割り当てる VLAN ID を指定します。VLAN ID の範囲は 1 ~ 4090 です。

 
デフォルト

デフォルトでは、すべてのスイッチ ポートが VLAN 1 に割り当てられています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

トランスペアレント ファイアウォール モードでは、ASA 5505 適応型セキュリティ アプライアンス Base ライセンスの場合 2 つのアクティブ VLAN、Security Plus ライセンスの場合 3 つのアクティブ VLAN を設定でき、うち 1 つはフェールオーバー用とする必要があります。

ルーテッド モードでは、ASA 5505 適応型セキュリティ アプライアンス Base ライセンスの場合最大 3 つのアクティブ VLAN、Security Plus ライセンスの場合最大 20 のアクティブ VLAN を設定できます。

アクティブな VLAN とは、 nameif コマンドが設定された VLAN のことです。

switchport access vlan コマンドを使用して、1 つ以上の物理インターフェイスを各 VLAN に割り当てられます。デフォルトでは、インターフェイスの VLAN モードはアクセス ポート(インターフェイスに 1 つの VLAN が割り当てられる)になります。複数の VLAN をそのインターフェイス上に通過させるためにトランク ポートを作成する場合、 switchport mode access trunk コマンドを使用してモードをトランク モードに変更してから、 switchport trunk allowed vlan コマンドを使用します。

次の例では、5 つの物理インターフェイスを 3 つの VLAN インターフェイスに割り当てています。

 
hostname(config-if)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 100
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/1
hostname(config-if)# switchport access vlan 200
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/2
hostname(config-if)# switchport access vlan 200
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/3
hostname(config-if)# switchport access vlan 200
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/4
hostname(config-if)# switchport access vlan 300
hostname(config-if)# no shutdown
 
...
 

 
関連コマンド

コマンド
説明

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

show running-config interface

実行コンフィギュレーションのインターフェイス コンフィギュレーションを表示します。

switchport mode

VLAN モードをアクセスまたはトランクに設定します。

switchport protected

セキュリティを高めるため、スイッチ ポートが同一 VLAN 上の別のスイッチ ポートと通信しないようにします。

switchport trunk allowed vlan

VLAN をトランク ポートに割り当てます。

switchport mode

ASA 5505 適応型セキュリティ アプライアンスなどビルトイン スイッチを持つモデルの場合、インターフェイス コンフィギュレーション モードで switchport mode コマンドを使用し、VLAN モードをアクセス(デフォルト)とトランクのいずれかに設定します。

switchport mode { access | trunk }

no switchport mode { access | trunk }

 
構文の説明

access

スイッチ ポートをアクセス モードに設定します。スイッチ ポートはトラフィックを 1 つの VLAN だけに伝送します。パケットは 802.1Q VLAN タグを持たないスイッチ ポートから出ます。タグ付きのスイッチ ポートに入ると、パケットはドロップされます。

trunk

スイッチ ポートをトランク モードに設定します。トラフィックを複数の VLAN に転送できます。パケットは 802.1Q VLAN タグを持つスイッチ ポートから出ます。タグのないスイッチ ポートに入ると、パケットはドロップされます。

 
デフォルト

デフォルトはアクセス モードです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

7.2(2)

トランク ポートを 1 つだけではなく、複数設定できるようになりました。

 
使用上のガイドライン

デフォルトでは、スイッチ ポートの VLAN モードはアクセス ポート(スイッチ ポートに 1 つの VLAN が割り当てられる)になります。アクセス モードでは、 switchport access vlan コマンドを使用してスイッチ ポートを VLAN に割り当てます。スイッチ ポートに複数の VLAN を通過させるトランク ポートを作成する場合、モードをトランク モードに設定してから、 switchport trunk allowed vlan コマンドを使用して複数の VLAN をそのトランクに割り当てます。モードをトランク モードに設定し、 switchport trunk allowed vlan コマンドを設定していない状態では、スイッチ ポートは「回線プロトコル ダウン」状態になり、トラフィック転送に参加できません。トランク モードが使用できるのは Security Plus ライセンスだけです。

switchport vlan access コマンドは、モードがアクセス モードに設定されない限り、効果がありません。 switchport trunk allowed vlan コマンドは、モードがトランク モードに設定されない限り、効果がありません。

次の例では、VLAN 100 に割り当てられたアクセス モードのスイッチ ポートと、VLAN 200 と 300 とに割り当てられたトランク モードのスイッチ ポートを設定しています。

hostname(config-if)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 100
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/1
hostname(config-if)# switchport mode trunk
hostname(config-if)# switchport trunk allowed vlan 200,300
hostname(config-if)# no shutdown
 
...
 

 
関連コマンド

コマンド
説明

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

show running-config interface

実行コンフィギュレーションのインターフェイス コンフィギュレーションを表示します。

switchport access vlan

スイッチ ポートを VLAN に割り当てます。

switchport protected

セキュリティを高めるため、スイッチ ポートが同一 VLAN 上の別のスイッチ ポートと通信しないようにします。

switchport trunk allowed vlan

VLAN をトランク ポートに割り当てます。

switchport monitor

ASA 5505 適応型セキュリティ アプライアンスなどビルトイン スイッチを持つモデルには、インターフェイス コンフィギュレーション モードで switchport monitor コマンドを使用して、SPAN をイネーブルにします。これはスイッチ ポート モニタリングとしても知られています。このコマンドを入力したポート(宛先ポートと呼ぶ)は、指定された送信元ポートで送受信されるすべてのパケットのコピーを受信します。SPAN 機能を使用すれば、宛先ポートにスニファを接続してトラフィックをモニタできます。複数の送信元ポートを指定する場合、このコマンドを複数回入力します。SPAN をイネーブルにできるのは宛先ポート 1 つだけです。送信元ポートのモニタをディセーブルにするには、このコマンドの no 形式を使用します。

switchport monitor source_port [ tx | rx | both ]

no switchport monitor source_port [ tx | rx | both ]

 
構文の説明

source_port

モニタするポートを指定します。VLAN インターフェイス間でトラフィックを通過させるポートであれば、Internal-Data0/1 バックプレーン ポートに加え、すべてのイーサネット ポートを指定できます。Internal-Data0/1 ポートはギガビット イーサネット ポートであるため、ファスト イーサネット宛先ポートをトラフィックによって過負荷にしてしまう可能性があります。Internal-Data0/1 ポートのモニタは注意深く行ってください。

tx

(任意)送信トラフィックだけをモニタするよう指定します。

rx

(任意)受信トラフィックだけをモニタするよう指定します。

both

(任意)送受信トラフィックの両方をモニタするよう指定します。 both がデフォルトです。

 
デフォルト

モニタするトラフィックのデフォルト タイプは both です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

SPAN をイネーブルにしない場合、スニファをスイッチ ポートの 1 つに接続すると、そのポートを経由するトラフィックだけがキャプチャされます。複数のポートでそのポートを経由するトラフィックをキャプチャするには、SPAN をイネーブルにし、モニタするポートを指定する必要があります。

SPAN の宛先ポートを別のスイッチに接続する場合、ネットワークにループが発生しないよう注意が必要です。

次の例では、Ethernet 0/1 ポートを宛先ポートとして Ethernet 0/0 と Ethernet 0/2 ポートをモニタするよう設定しています。

hostname(config)# interface ethernet 0/1
hostname(config-if)# switchport monitor ethernet 0/0
hostname(config-if)# switchport monitor ethernet 0/2
 

 
関連コマンド

コマンド
説明

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

show running-config interface

実行コンフィギュレーションのインターフェイス コンフィギュレーションを表示します。

switchport access vlan

スイッチ ポートを VLAN に割り当てます。

switchport protected

セキュリティを高めるため、スイッチ ポートが同一 VLAN 上の別のスイッチ ポートと通信しないようにします。

switchport protected

ASA 5505 適応型セキュリティ アプライアンスなどビルトイン スイッチを持つモデルでは、インターフェイス コンフィギュレーション モードで switchport protected コマンドを使用して、スイッチ ポートが同じ VLAN 上にある別の保護されたスイッチ ポートと通信しないようにします。この機能によって、スイッチ ポートの 1 つが侵害された場合の VLAN 上の他のスイッチ ポートのセキュリティを高められます。

switchport protected

no switchport protected

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、インターフェイスは保護されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

スイッチ ポート上のデバイスが主に別の VLAN からアクセスされる場合、スイッチ ポート同士で通信させない設定が望ましいことがあります。VLAN 内アクセスが不要で、感染や他のセキュリティ侵害に備えてデバイスを分離させておく場合もあります。たとえば、3 つの Web サーバをホストする DMZ がある場合、各ポートに switchport protected コマンドを適用すれば、それらの Web サーバを互いに隔離できます。ネットワークの内外からは、3 つの Web サーバすべてと通信でき、Web サーバからネットワーク内外へも通信できますが、Web サーバ同士では通信できません。

保護されていないポートとの通信は、このコマンドでは制限されません。

次の例では、7 つのスイッチ ポートを設定しています。Ethernet 0/4、0/5、0/6 が DMZ ネットワークに割り当てられ、互いから保護されます。

hostname(config)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 100
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/1
hostname(config-if)# switchport access vlan 200
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/2
hostname(config-if)# switchport access vlan 200
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/3
hostname(config-if)# switchport access vlan 200
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/4
hostname(config-if)# switchport access vlan 300
hostname(config-if)# switchport protected
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/5
hostname(config-if)# switchport access vlan 300
hostname(config-if)# switchport protected
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/6
hostname(config-if)# switchport access vlan 300
hostname(config-if)# switchport protected
hostname(config-if)# no shutdown
 
...
 

 
関連コマンド

コマンド
説明

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

show running-config interface

実行コンフィギュレーションのインターフェイス コンフィギュレーションを表示します。

switchport access vlan

スイッチ ポートを VLAN に割り当てます。

switchport mode

VLAN モードをアクセスまたはトランクに設定します。

switchport trunk allowed vlan

VLAN をトランク ポートに割り当てます。

switchport trunk

ASA 5505 適応型セキュリティ アプライアンスなどビルトイン スイッチを持つモデルには、インターフェイス コンフィギュレーション モードで switchport trunk コマンドを使用して、VLAN をトランク ポートに割り当てます。トランクから VLAN を削除するには、このコマンドの no 形式を使用します。

switchport trunk {allowed vlans vlan_range | native vlan v lan }

no switchport trunk {allowed vlans vlan_range | native vlan v lan }

 
構文の説明

allowed vlans vlan_range

トランク ポートに割り当て可能な 1 つ以上の VLAN を指定します。VLAN ID の範囲は 1 ~ 4090 です。

vlan_range は、次の方法のいずれかで指定できます。

単独の数値(n)。

範囲(n-x)。

カンマで区切られた数値と範囲。次に例を示します。

5,7-10,13,45-100

カンマの代わりにスペースを入力できますが、コマンドはコンフィギュレーションにカンマを使用して保存されます。

ネイティブ VLAN をこのコマンドに含められますが、必要ではありません。このコマンドに含まれるかどうかにかかわらず、ネイティブ VLAN は通過します。

native vlan vlan

ネイティブ VLAN をトランクに割り当てます。ネイティブ VLAN 上のパケットは、トランクを介した送信で変更されません。

たとえば、ポートに VLAN 2、3、4 が割り当てられ、VLAN 2 がネイティブ VLAN の場合、ポートを出る VLAN 2 上のパケットが 802.1Q ヘッダーで変更されることはありません。このポートに入ってくる 802.1Q ヘッダーを持たないフレームは、VLAN 2 に入ります。

それぞれのポートは 1 つのネイティブ VLAN しか持てませんが、各ポートで同じネイティブ VLAN を持つことも、異なるネイティブ VLAN を持つこともできます。

 
デフォルト

デフォルトでは、トランクに割り当てられている VLAN はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

7.2(2)

スイッチ ポートごとに 3 つを超える VLAN を許容できるよう、コマンドが修正されました。また、トランク ポートを 1 つだけではなく複数設定できるようになりました。このコマンドでは、VLAN ID を区切るのにスペースの代わりにカンマを使います。

7.2(4)/8.0(4)

native vlan キーワードを使用したネイティブ VLAN のサポートが導入されました。

 
使用上のガイドライン

スイッチ ポートに複数の VLAN を通過させるトランク ポートを作成する場合、 switchport mode trunk コマンドでモードをトランク モードに設定してから、 switchport trunk コマンドを使用して複数の VLAN をそのトランクに割り当てます。このスイッチ ポートは、最低 1 つの VLAN が割り当てられるまで、トラフィックを通過させられません。モードをトランク モードに設定し、 switchport trunk allowed vlan コマンドを設定していない状態では、スイッチ ポートは「回線プロトコル ダウン」状態になり、トラフィック転送に参加できません。トランク モードが使用できるのは Security Plus ライセンスだけです。 switchport trunk コマンドは、モードが switchport mode trunk コマンドでトランク モードに設定されない限り、効果がありません。


) このコマンドはバージョン 7.2(1) とダウングレード互換ではありません。VLAN のカンマ区切り 7.2(1) では認識されません。ダウングレードする場合、VLAN をスペースで区切るようにし、VLAN の上限 3 を超えないようにします。


次の例では、 failover lan コマンドで設定されたフェールオーバー インターフェイスを含め、7 つの VLAN インターフェイスを設定しています。VLAN 200、201、202 は Ethernet 0/1 に集約されます。

hostname(config)# interface vlan 100
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 200
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.2.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 201
hostname(config-if)# nameif dept1
hostname(config-if)# security-level 90
hostname(config-if)# ip address 10.2.2.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 202
hostname(config-if)# nameif dept2
hostname(config-if)# security-level 90
hostname(config-if)# ip address 10.2.3.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 300
hostname(config-if)# nameif dmz
hostname(config-if)# security-level 50
hostname(config-if)# ip address 10.3.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 400
hostname(config-if)# nameif backup-isp
hostname(config-if)# security-level 50
hostname(config-if)# ip address 10.1.2.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# failover lan faillink vlan500
hostname(config)# failover interface ip faillink 10.4.1.1 255.255.255.0 standby 10.4.1.2
255.255.255.0
 
hostname(config)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 100
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/1
hostname(config-if)# switchport mode trunk
hostname(config-if)# switchport trunk allowed vlan 200-202
hostname(config-if)# switchport trunk native vlan 5
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/2
hostname(config-if)# switchport access vlan 300
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/3
hostname(config-if)# switchport access vlan 400
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/4
hostname(config-if)# switchport access vlan 500
hostname(config-if)# no shutdown
 

 
関連コマンド

コマンド
説明

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

show running-config interface

実行コンフィギュレーションのインターフェイス コンフィギュレーションを表示します。

switchport access vlan

スイッチ ポートを VLAN に割り当てます。

switchport mode

VLAN モードをアクセスまたはトランクに設定します。

switchport protected

セキュリティを高めるため、スイッチ ポートが同一 VLAN 上の別のスイッチ ポートと通信しないようにします。

synack-data

データを含む TCP SYNACK パケットへのアクションを設定するには、TCP マップ コンフィギュレーション モードで synack-data コマンドを使用します。値をデフォルトに戻すには、このコマンドの no 形式を使用します。このコマンドは、 set connection advanced-options コマンドを使用してイネーブルにされる TCP 正規化ポリシーの一部です。

synack-data { allow | drop }

no synack-data

 
構文の説明

allow

データを含む TCP SYNACK パケットを許容します。

drop

データを含む TCP SYNACK パケットをドロップします。

 
デフォルト

デフォルトのアクションは、データを含む TCP SYNACK パケットのドロップです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

TCP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(4)/8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

TCP 正規化をイネーブルにするには、モジュラ ポリシー フレームワークを次のように使用します。

1. tcp-map :TCP 正規化アクションを指定します。

a. synack-data :TCP マップ コンフィギュレーション モードで、 synack-data コマンドや他の多くのコマンドを入力できます。

2. class-map :TCP 正規化を実行するトラフィックを指定します。

3. policy-map :各クラス マップに関連付けるアクションを指定します。

a. class :アクションを実行するクラス マップを指定します。

b. set connection advanced-options :作成した TCP マップを指定します。

4. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。

次の例では、データを含む TCP SYNACK パケットを許容するよう 適応型セキュリティ アプライアンス を設定しています。

hostname(config)# tcp-map tmap
hostname(config-tcp-map)# synack-data allow
hostname(config)# class-map cmap
hostname(config-cmap)# match any
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
hostname(config)# service-policy pmap global
hostname(config)#
 

 
関連コマンド

コマンド
説明

class-map

サービス ポリシーに対してトラフィックを指定します。

policy-map

サービス ポリシー内でトラフィックに適用するアクションを指定します。

set connection advanced-options

TCP 正規化をイネーブルにします。

service-policy

サービス ポリシーをインターフェイスに適用します。

show running-config tcp-map

TCP マップ コンフィギュレーションを表示します。

tcp-map

TCP マップを作成して、TCP マップ コンフィギュレーション モードにアクセスできるようにします。

syn-data

データを持つ SYN パケットを許可またはドロップするには、TCP マップ コンフィギュレーション モードで syn-data コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

syn-data { allow | drop }

no syn-data { allow | drop }

 
構文の説明

allow

データを含む SYN パケットを許可します。

drop

データを含む SYN パケットをドロップします。

 
デフォルト

データを含む SYN パケットは、デフォルトで許可されています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

TCP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。

tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。SYN パケット内にデータを持つパケットをドロップするには、TCP マップ コンフィギュレーション モードで syn-data コマンドを使用します。

TCP 仕様では、TCP 実装時に SYN パケットに含まれるデータを受け入れるよう要求されています。微妙でわかりにくい点であるため、実装によっては正しく扱われていません。不正なエンドシステム実装に関係した挿入攻撃に対する脆弱性を避けるため、SYN パケット内にデータを持つパケットをドロップするよう選択できます。

次の例に、すべての TCP フローについて、データを持つ SYN パケットをドロップする方法を示します。

hostname(config)# access-list TCP extended permit tcp any any
hostname(config)# tcp-map tmap
hostname(config-tcp-map)# syn-data drop
hostname(config)# class-map cmap
hostname(config-cmap)# match access-list TCP
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
hostname(config)# service-policy pmap global
hostname(config)#
 

 
関連コマンド

コマンド
説明

class

トラフィック分類に使用するクラス マップを指定します。

policy-map

ポリシーを設定します。これは、1 つのトラフィック クラスと 1 つ以上のアクションのアソシエーションです。

set connection

接続値を設定します。

tcp-map

TCP マップを作成して、TCP マップ コンフィギュレーション モードにアクセスできるようにします。

sysopt connection permit-vpn

VPN 経由で適応型セキュリティ アプライアンスに入ってから復号化されるトラフィックには、グローバル コンフィギュレーション モードで sysopt connection permit-vpn コマンドを使用して、トラフィックがインターフェイス アクセス リストをバイパスできるようにします。グループ ポリシーおよびユーザごとの許可アクセス リストは、変わらずトラフィックに適用されます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

sysopt connection permit-vpn

no sysopt connection permit-vpn

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

この機能は、デフォルトでイネーブルにされています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、デフォルトでイネーブルになりました。また、インターフェイス アクセス リストだけがバイパスされ、グループ ポリシーまたはユーザごとのアクセス リストは有効なまま残されます。

7.1(1)

sysopt connection permit-ipsec コマンドからこのコマンドに変更されました。

 
使用上のガイドライン

デフォルトでは、適応型セキュリティ アプライアンスは VPN トラフィックが適応型セキュリティ アプライアンス インターフェイス上で終了することを許可しているため、インターフェイス アクセス リストで IKE や ESP(または他のタイプの VPN パケット)を許可する必要はありません。また、デフォルトでは、復号化された VPN パケットのローカル IP アドレス用のインターフェイス アクセス リストも必要ありません。VPN トンネルは VPN セキュリティ メカニズムによって正しく終了させられるため、この機能によってコンフィギュレーションは簡素化され、セキュリティ リスクなしで適応型セキュリティ アプライアンスのパフォーマンスを最大化できます(グループ ポリシーおよびユーザごとの許可アクセス リストは、変わらずトラフィックに適用されます)。

no sysopt connection permit-vpn コマンドを入力することで、インターフェイス アクセス リストをローカル IP アドレスに適用するよう要求できます。アクセス リストの作成とインターフェイスへの適用については、 access-list および access-group コマンドを参照してください。アクセス リストはローカル IP アドレスに適用され、VPN パケット復号化前に使用されていた元のクライアント IP アドレスには適用されません。

次の例では、復号化された VPN トラフィックがインターフェイス アクセス リストに従うよう要求しています。

hostname(config)# no sysopt connection permit-vpn
 

 
関連コマンド

コマンド
説明

clear configure sysopt

sysopt コマンド コンフィギュレーションをクリアします。

show running-config sysopt

sysopt コマンド コンフィギュレーションを表示します。

sysopt connection tcpmss

TCP セグメントの最大サイズを上書きします。または、確実に最大サイズが指定したサイズよりも小さくならないようにします。

sysopt connection timewait

最後の標準 TCP クローズダウン シーケンスの後、各 TCP 接続が短縮 TIME_WAIT 状態を保持するようにします。

sysopt connection preserve-vpn-flows

トンネルのドロップと回復の後のタイムアウト期限内に、トンネルされたステートフル(TCP)IPsec LAN-to-LAN トラフィックの保持と再開を行うには、 sysopt connection preserve-vpn-flows コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

sysopt connection preserve-vpn-flows

no sysopt connection preserve-vpn-flows

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

この機能はデフォルトでディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

固定的トンネル IPsec フロー機能がイネーブルの場合、タイムアウト期限内にトンネルが再作成される限り、セキュリティ アプライアンスは引き続き元のフロー内のステート情報にアクセスできるため、データ フローは正しく継続します。

このコマンドがサポートするのは IPsec LAN-to-LAN トンネルだけです(ネットワーク拡張モードを含む)。AnyConnect/SSL VPN や IPsec リモート アクセス トンネルはサポートしていません。

次の例では、トンネルのステート情報を保持しておき、トンネルのドロップとタイムアウト期限内の再確立の後に、トンネル処理された IPsec LAN-to LAN VPN トラフィックを再開するよう指定しています。

hostname(config)# no sysopt connection preserve-vpn-flows

この機能がイネーブルになっているかを確認するには、sysopt に show run all コマンドを入力します。

hostname(config)# show run all sysopt

結果の例を次に示します。説明のため、この例とこれに続くすべての例では、preserve-vpn-flows item が太字になっています。

no sysopt connection timewait
sysopt connection tcpmss 1380
sysopt connection tcpmss minimum 0
no sysopt nodnsalias inbound
no sysopt nodnsalias outbound
no sysopt radius ignore-secret
sysopt connection permit-vpn
no sysopt connection reclassify-vpn
no sysopt connection preserve-vpn-flows
hostname(config)#
 

sysopt connection reclassify-vpn

既存の VPN フローを再分類するには、グローバル コンフィギュレーション モードで sysopt connection reclassify-vpn コマンドを入力します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

sysopt connection reclassify-vpn

no sysopt connection reclassify-vpn

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

この機能は、デフォルトでイネーブルにされています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

VPN トンネルが出現すると、このコマンドは既存の VPN フローを再分類し、暗号化を破棄して再作成する必要があるフローを確認します。

このコマンドが適用されるのは、LAN-to-LAN およびダイナミック VPN だけです。このコマンドは、EZVPN や VPN クライアント接続には効果がありません。

次の例は、VPN 再分類をイネーブルにしています。

hostname(config)# sysopt connection reclassify-vpn
 

 
関連コマンド

コマンド
説明

clear configure sysopt

sysopt コマンド コンフィギュレーションをクリアします。

show running-config sysopt

sysopt コマンド コンフィギュレーションを表示します。

sysopt connection permit-vpn

インターフェイスのアクセス リストのチェックをまったく行わずに、IPsec トンネルからのパケットをすべて許可します。

sysopt connection tcpmss

TCP セグメントの最大サイズを上書きします。または、確実に最大サイズが指定したサイズよりも小さくならないようにします。

sysopt connection timewait

最後の標準 TCP クローズダウン シーケンスの後、各 TCP 接続が短縮 TIME_WAIT 状態を保持するようにします。

sysopt connection tcpmss

TCP セグメントの最大サイズが設定した値を超えず、かつ最大値が指定サイズ以上であることを確認するには、グローバル コンフィギュレーション モードで sysopt connection tcpmss コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

sysopt connection tcpmss [ minimum ] bytes

no sysopt connection tcpmss [ minimum ] [ bytes ]

 
構文の説明

bytes

TCP セグメントの最大サイズを、48 から任意の最大値までのバイト数で設定します。デフォルト値は 1380 バイトです。 bytes を 0 に設定すると、この機能はディセーブルになります。

minimum キーワードを使用する場合、 bytes は許可された最大値のうちで最小のものを表します。

minimum

セグメントの最大サイズを、 bytes 以上、48 ~ 65535 バイトの範囲で上書きします。この機能は、デフォルトでディセーブルにされています(0 に設定)。

 
デフォルト

デフォルトの最大値は 1380 バイトです。minimum 機能は、デフォルトでディセーブルにされています(0 に設定)。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

最初に接続を確立するときは、ホストとサーバの両方がセグメントの最大サイズを設定できます。いずれかの最大値が sysopt connection tcpmss コマンドで設定した値を超える場合、適応型セキュリティ アプライアンスは最大値を上書きし、設定された値を挿入します。いずれかの最大値が sysopt connection tcpmss minimum コマンドで設定した値より小さい場合、適応型セキュリティ アプライアンスは最大値を上書きし、設定された「minimum」値を挿入します(minimum 値は実際には許可された最大値のうち最小のものです)。たとえば、最大サイズを 1200 バイト、最小サイズを 400 バイトに設定した状況で、ホストが最大サイズ 1300 バイトを要求すると、適応型セキュリティ アプライアンスは 1200 バイト(最大値)を要求するようにパケットを変更します。別のホストが最大サイズ 300 バイトを要求した場合、適応型セキュリティ アプライアンスは 400 バイト(最小値)を要求するようにパケットを変更します。

デフォルトの 1380 バイトは、合計パケット サイズがイーサネットの MTU のデフォルトである 1500 バイトを超えないよう、ヘッダー情報のための余裕を持たせています。次の計算を参照してください。

1380 data + 20 TCP + 20 IP + 24 AH + 24 ESP_CIPHER + 12 ESP_AUTH + 20 IP = 1500 bytes

ホストまたはサーバがセグメントの最大サイズを要求しなかった場合、適応型セキュリティ アプライアンスは RFC 793 のデフォルト値である 536 バイトが有効だと仮定します。

最大サイズを 1380 より大きく設定した場合、MTU サイズ(デフォルトでは 1500 バイト)によっては、パケットがフラグメント化される場合があります。Frag Guard 機能を使用している場合、大量のフラグメントは適応型セキュリティ アプライアンスのパフォーマンスに影響を与えることがあります。最小サイズを設定することで、TCP サーバが大量の小さな TCP データ パケットをクライアントに送信することでサーバとネットワークに影響を与えることを防止できます。


) この機能の通常の使用方法として推奨するものではありませんが、syslog IPFRAG メッセージ 209001 と 209002 が発生する場合、bytes の値を引き上げることができます。


次の例では、最大サイズを 1200、最小サイズを 400 に設定しています。

hostname(config)# sysopt connection tcpmss 1200
hostname(config)# sysopt connection tcpmss minimum 400
 

 
関連コマンド

コマンド
説明

clear configure sysopt

sysopt コマンド コンフィギュレーションをクリアします。

show running-config sysopt

sysopt コマンド コンフィギュレーションを表示します。

sysopt connection permit-ipsec

ACL でインターフェイスをチェックせずに IPSec トンネルからのすべてのパケットを許可します。

sysopt connection timewait

最後の標準 TCP クローズダウン シーケンスの後、各 TCP 接続が短縮 TIME_WAIT 状態を保持するようにします。

sysopt connection timewait

各 TCP 接続について、最後の標準 TCP クローズダウン シーケンスから最低 15 秒間短縮 TIME_WAIT 状態を保持させるには、グローバル コンフィギュレーション モードで sysopt connection timewait コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。この機能は、エンド ホスト アプリケーションのデフォルト TCP 終了シーケンスが同時クローズの場合に、使用できることがあります。

sysopt connection timewait

no sysopt connection timewait


) RST パケット(標準 TCP クローズダウン シーケンスではない)も 15 秒の遅延をトリガーします。適応型セキュリティ アプライアンスは、接続の最後のパケット(FIN/ACK または RST のいずれか)を受信してから 15 秒間接続を保持します。


 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

この機能はデフォルトでディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

適応型セキュリティ アプライアンスのデフォルト動作では、シャットダウン シーケンスを追跡し、2 つの FIN および最後の FIN セグメントの ACK の後で接続を解放します。この高速なリリース ヒューリスティックによって、適応型セキュリティ アプライアンスは標準クローズ シーケンスとして知られる最も一般的なクローズ シーケンスに基づいて、高い接続率を保つことが可能です。しかし、同時クローズでは、トランザクションの両側ともにクローズ シーケンスが開始されます。これは、一方がクローズし、もう一方が自身のクローズ シーケンスを開始する前に知らせるという標準クローズ シーケンスとは異なっています(RFC 793 を参照)。そのため、同時クローズでは、高速なリリースによって接続の一方が CLOSING 状態で止まってしまいます。CLOSING 状態のソケットが多数存在すると、エンド ホストのパフォーマンスは低下します。たとえば、WinSock メインフレーム クライアントの中には、このような動作をしてメインフレーム サーバのパフォーマンスを低下させることが知られているものもあります。 sysopt connection timewait コマンドは、クローズダウン シーケンスの完了に時間の幅を持たせます。

次の例では、タイムウェイト機能をイネーブルにしています。

hostname(config)# sysopt connection timewait
 

 
関連コマンド

コマンド
説明

clear configure sysopt

sysopt コマンド コンフィギュレーションをクリアします。

show running-config sysopt

sysopt コマンド コンフィギュレーションを表示します。

sysopt connection permit-ipsec

ACL でインターフェイスをチェックせずに IPSec トンネルからのすべてのパケットを許可します。

sysopt connection tcpmss

TCP セグメントの最大サイズを上書きします。または、確実に最大サイズが指定したサイズよりも小さくならないようにします。

sysopt noproxyarp

インターフェイス上で、NAT グローバル アドレスまたは VPN クライアント アドレスのプロキシ ARP をディセーブルにするには、グローバル コンフィギュレーション モードで sysopt noproxyarp コマンドを使用します。プロキシ ARP を再度イネーブルにするには、このコマンドの no 形式を使用します。

sysopt noproxyarp interface_name

no sysopt noproxyarp interface_name

 
構文の説明

interface_name

プロキシ ARP をディセーブルにするインターフェイスの名前。

 
デフォルト

プロキシ ARP は、デフォルトでイネーブルに設定されています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(3)

このコマンドは、VPN クライアントのアドレスが内部ネットワークと重なる場合に VPN プロキシ ARP に影響するよう拡張されました。

 
使用上のガイドライン

既存のネットワークと重なる VPN クライアント アドレス プールがある場合、適応型セキュリティ アプライアンスはデフォルトではすべてのインターフェイスにプロキシ ARP を送信します。同じレイヤ 2 ドメインに別のインターフェイスが存在する場合、ARP 要求に対してインターフェイスの MAC アドレスで応答することになります。結果として、VPN クライアントの内部ホストへ向かうリターン トラフィックは誤ったインターフェイスに向かうことになり、ドロップされてしまいます。この場合、プロキシ ARP を使用させないインターフェイスについて sysopt noproxyarp コマンドを入力する必要があります。

特殊な状況では、NAT グローバル アドレスのプロキシ ARP をディセーブルにする場合があります。

ホストが IP トラフィックを同一イーサネット ネットワーク上の別のデバイスに送信する場合、ホストはデバイスの MAC アドレスを知っている必要があります。ARP は IP アドレスを MAC アドレスに解決するレイヤ 2 プロトコルです。ホストは ARP 要求を送って、ある IP アドレスに該当するデバイスを尋ねます。その IP アドレスを持つデバイスは、自身の MAC アドレスで応答します。

プロキシ ARP では、あるデバイスが、そのデバイス自体はその IP アドレスを持っていない場合でも、ARP 要求に対して自身の MAC アドレスで応答します。適応型セキュリティ アプライアンスは、NAT が設定され、適応型セキュリティ アプライアンス インターフェイスと同じネットワーク上のグローバル アドレスが指定された場合に、プロキシ ARP を使用します。トラフィックがホストに到達する唯一の方法は、適応型セキュリティ アプライアンスがプロキシ ARP を使用して適応型セキュリティ アプライアンスの MAC アドレスが宛先グローバル アドレスに割り当てられていると主張することです。

次の例では、内部インターフェイスでプロキシ ARP をディセーブルにしています。

hostname(config)# sysopt noproxyarp inside
 

 
関連コマンド

コマンド
説明

alias

外部アドレスを変換し、変換に合わせて DNS レコードを変更します。

clear configure sysopt

sysopt コマンド コンフィギュレーションをクリアします。

show running-config sysopt

sysopt コマンド コンフィギュレーションを表示します。

sysopt nodnsalias

alias コマンドを使用するときに、DNS A レコード アドレスの変更をディセーブルにします。

sysopt radius ignore-secret

RADIUS アカウンティング応答内の認証キーを無視するには、グローバル コンフィギュレーション モードで sysopt radius ignore-secret コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。一部の RADIUS サーバとの互換性のため、キーを無視することが必要な場合があります。

sysopt radius ignore-secret

no sysopt radius ignore-secret

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

この機能はデフォルトでディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

一部の RADIUS サーバは、アカウンティング通知応答の認証者ハッシュ内へのキーの取り込みに失敗します。この使用上の問題により、適応型セキュリティ アプライアンスが継続的にアカウンティング要求を再送信してしまう場合があります。このような通知内のキーを無視し、再送信問題を避けるには、 sysopt radius ignore-secret コマンドを使用します(ここで指定されるキーは、 aaa-server host コマンドで設定したものと同じです)。

次の例では、アカウンティング応答内の認証キーを無視しています。

hostname(config)# sysopt radius ignore-secret
 

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバを指定します。

clear configure sysopt

sysopt コマンド コンフィギュレーションをクリアします。

show running-config sysopt

sysopt コマンド コンフィギュレーションを表示します。